android

WhatsApp-Mods mit Spyware

Unsere Forscher haben mit Spyware infizierte WhatsApp-Modifikationen entdeckt, die über Telegram-Kanäle und Websites für WhatsApp-Mods verbreitet werden.

Kaspersky Team
27 Nov 2023

In den letzten zehn Jahren sind Messaging-Apps wie WhatsApp und Telegram für fast jeden Internetnutzer kaum mehr aus dem Leben wegzudenken. Milliarden von Menschen nutzen sie, um mit ihrer Familie zu chatten, lustige Bilder und Videos mit Freunden zu teilen, sich mit Kollegen zu unterhalten, Neuigkeiten zu erfahren und vieles mehr. Versuchen Sie einmal, sich das moderne Leben ohne Messenger vorzustellen. Schwierig, nicht wahr? Doch leider enthalten diese unverzichtbaren Apps manchmal versteckte Bedrohungen.

WhatsApp- und Telegram-Mods: Wie, was und warum

Manchen Nutzern reicht die Funktionalität der offiziellen WhatsApp- und Telegram-App nicht aus. Sie wollen zusätzliche Optionen, um die Benutzeroberfläche oder spezifische Funktionen anzupassen. Dazu zählen z. B. die Möglichkeit, Chats auszublenden, Nachrichten automatisch zu übersetzen oder von Chat-Partnern gelöschte Nachrichten anzusehen. Und die Liste der „fehlenden“ Funktionen ist sehr lang.

Drittanbieter entwickeln Modifikationen oder Mods der standardmäßigen WhatsApp- und Telegram-App, um selbst sehr ausgefallene Benutzerbedürfnisse zu befriedigen. Und von diesen Mods gibt es eine ganze Menge.

Das Problem bei der Installation solcher Mods ist, dass der Nutzer seine Korrespondenz nicht nur den Entwicklern des Original-Messengers anvertrauen muss, sondern auch den Mod-Entwicklern. Und diese Entwickler können leicht bösartige Module darin verstecken. Außerdem können Mod-Distributoren noch weitere „Ostereier“ hinzufügen.

Bei WhatsApp wird die Situation mit Mods durch die Besitzer des Messengers noch komplizierter. Sie wollen keine Modifikationen haben und behindern deshalb deren Verbreitung. Von Zeit zu Zeit versuchen die WhatsApp-Besitzer, den Nutzern die Verwendung von Mods zu verbieten – bisher jedoch erfolglos. Inzwischen ist es ihnen gelungen, alternative Clients für WhatsApp aus den offiziellen Stores wie Google Play und App Store zu verbannen.

Als Folge laden Nutzer die WhatsApp-Mods von fast überall herunter. Mutig laden die Nutzer APK-Dateien herunter, ändern Einstellungen, um die Installation aus unbekannten Quellen zuzulassen, und führen die Mods anschließend auf ihren Smartphones aus. Diesen Leichtsinn nutzen Cyberkriminelle aus, indem sie Malware in die Mods einbetten.

Unsere Experten haben vor Kurzem mehrere solcher infizierten Mods gefunden, und wir wollen diese in unserem Artikel näher betrachten.

Infizierte WhatsApp-Mods bei Telegram

Die WhatsApp-Mods, die unseren Experten auffielen, hatten zuvor keine bösartigen Aktivitäten gezeigt. Inzwischen enthalten sie jedoch ein Spionagemodul, das unsere Sicherheitslösungen als Trojan-Spy.AndroidOS.CanesSpy identifizieren.

Nach der Installation auf dem Smartphone des Opfers wartet ein infizierter WhatsApp-Mod, bis das Telefon eingeschaltet oder aufgeladen wird. Erst dann startet das Spionagemodul. Es kontaktiert einen Kontrollserver aus einer vorgegebenen Liste und lädt verschiedene Informationen über das Gerät hoch, unter anderem Telefonnummer, IMEI und Mobilfunknetzkennzahl. Darüber hinaus sendet der Spionage-Trojaner alle fünf Minuten Informationen über die Kontakte und Konten des Opfers an den Server und wartet auf Befehle.

Abgesehen von den Dienstbefehlen besitzt das Spionagemodul zwei Hauptfunktionen:

Das Gerät wird durchsucht und Dateien werden gesendet. Dabei geht es um Dateien, die sich im Speicher des Smartphones befinden (genauer gesagt im nicht systembezogenen Bereich bzw. im „externen Speicher“, um mit Android zu sprechen)
Über das integrierte Mikrofon wird Ton aufgenommen und die Aufnahmen werden an einen Kontrollserver gesendet

Was die Verbreitung der Spyware angeht, wurden in mehreren arabischen und aserbaidschanischen Telegram-Kanälen infizierte WhatsApp-Modifikationen gefunden. Sie trugen die Namen der beliebten Mods GBWhatsApp, WhatsApp Plus und AZE PLUS (eine WhatsApp Plus-Version mit aserbaidschanischer Benutzeroberfläche).

Infizierte WhatsApp-Mods in Telegram-Kanälen

Mit Spyware infizierte WhatsApp-Mods wurden hauptsächlich über aserbaidschanische und arabische Telegram-Kanäle verbreitet

Außerdem fanden unsere Experten weitere mit dem Spionagemodul infizierte APK-Dateien auf Websites, die WhatsApp-Mods zum Download anbieten.

Im Oktober erkannten und verhinderten unsere Sicherheitslösungen mehr als 340.000 Angriffe dieser Spyware in über 100 Ländern. Dabei ist zu beachten, dass es hier nur um Angriffe geht, die von unseren Lösungen abgefangen werden. Würden auch Smartphones berücksichtigt, auf denen unsere Lösungen nicht installiert sind, wäre die Anzahl wesentlich höher.

Obwohl die Bedrohung geografisch weit verbreitet ist, wurden die mit Abstand meisten Infektionsversuche in Aserbaidschan registriert, gefolgt von den arabischen Ländern Jemen, Saudi-Arabien und Ägypten, sowie der Türkei.

Geografie der Infektionsversuche mit Trojan-Spy.AndroidOS.CanesSpy

Top-20 der Länder, in denen die WhatsApp-Spionage-Mods verbreitet wurden

So schützen Sie sich vor Messenger-Spyware

Dies ist nicht der erste Fall im Jahr 2023, in dem bösartige Module in modifizierten Messenger-Apps gefunden werden. Vor einigen Monaten haben wir über eine Reihe infizierter Mods für Telegram, WhatsApp und sogar den sicheren Messenger Signal berichtet. Es gibt also allen Grund, vorsichtig zu sein:

Verwenden Sie nur die offiziellen Apps von WhatsApp und Telegram. Wie wir gesehen haben, sind Messenger-Mods anfällig für Malware.
Installieren Sie Apps nur aus offiziellen Stores: Apple App Store, Google Play, Huawei AppGallery und so weiter. Diese sind nicht immun gegen Schadsoftware, aber dennoch wesentlich sicherer als Websites von Drittanbietern, die oft überhaupt keine Sicherheitsvorkehrungen haben.
Bevor Sie eine App installieren, sehen Sie sich die Seite im Store genau an und vergewissern Sie sich, dass es keine Fälschung ist – Bösewichte erstellen oft Klone beliebter Apps.
Lesen Sie die App-Rezensionen und achten Sie besonders auf negative Kommentare. Eben dort können Sie Hinweise darauf finden, ob eine App verdächtige Aktivitäten zeigt.
Installieren Sie einen zuverlässigen Schutz auf allen Ihren Android-Geräten. Dadurch wird schädlicher Code in scheinbar harmlosen Apps erkannt und Sie werden rechtzeitig gewarnt.
Wichtig! In der kostenlosen Version unserer App Kaspersky for Android müssen Sie die Untersuchung manuell ausführen.
Wenn Sie die Premiumversion unseres Android-Schutzes verwenden — der in Abonnements für Kaspersky Standard, Kaspersky Plus und Kaspersky Premium enthalten ist — können Sie sich entspannt zurücklehnen: Hier erfolgt die Suche nach Bedrohungen automatisch.

Fünf Kaspersky-Technologien zum Schutz Ihrer Finanzen

Wie Kaspersky-Produkte einen mehrschichtigen Schutz für Finanzen bieten und vor welchen Bedrohungen sie schützen

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

WhatsApp-Mods mit Spyware

WhatsApp- und Telegram-Mods: Wie, was und warum

Infizierte WhatsApp-Mods bei Telegram

So schützen Sie sich vor Messenger-Spyware

Jetzt speichert Google den Standortverlauf offline – oder etwa doch nicht?

Eingeschränkte Einstellungen in Android 13 und 14

Fünf Kaspersky-Technologien zum Schutz Ihrer Finanzen

Tipps

Werbung im Dienste von… Geheimdiensten

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie