{"id":30448,"date":"2023-09-18T17:47:59","date_gmt":"2023-09-18T15:47:59","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30448"},"modified":"2023-09-18T17:47:59","modified_gmt":"2023-09-18T15:47:59","slug":"telegram-signal-malware-in-google-play","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/telegram-signal-malware-in-google-play\/30448\/","title":{"rendered":"Spyware-Messenger bei Google Play"},"content":{"rendered":"

F\u00fcr beliebte Messenger wie Telegram, Signal und WhatsApp gibt es eine ganze Reihe alternativer Clients<\/a> (nicht zu verwechseln mit Clients<\/em> wie in (menschliche) Kunden<\/em>; wer sich f\u00fcr diese verwirrende Sprache entschieden hat, sollte einmal Rede und Antwort stehen). Solche modifizierten Apps \u2013 bekannt als Mods \u2013 bieten den Benutzern oft Funktionen und F\u00e4higkeiten, die in den offiziellen Clients nicht verf\u00fcgbar sind.<\/p>\n

W\u00e4hrend WhatsApp Mods missbilligt und sie regelm\u00e4\u00dfig aus den offiziellen App-Stores verbannt, hat Telegram nicht nur nie Krieg gegen alternative Clients gef\u00fchrt, sondern f\u00f6rdert auch aktiv deren Erstellung<\/a>, sodass Telegram-Mods wie Pilze aus dem Boden schie\u00dfen. Aber sind sie auch sicher?<\/p>\n

Leider zeigen mehrere neuere Studien, dass Messenger-Mods mit gro\u00dfer Vorsicht behandelt werden sollten. Obwohl die meisten Benutzer noch immer jeder App blind vertrauen, die bei Google Play verifiziert und ver\u00f6ffentlicht wurde, haben wir immer wieder<\/a> auf die Gefahren hingewiesen: Wenn Sie eine App bei Google Play herunterladen, k\u00f6nnen Sie auch einen Trojaner<\/a> (der mehr als 100 Millionen Mal heruntergeladen wurde!), eine Hintert\u00fcr<\/a>, einen b\u00f6sartigen Abonnenten<\/a> und\/oder jede Menge anderen Mist<\/a> erwischen.<\/p>\n

Das ist gerade aktuell: Infiziertes Telegram auf Chinesisch und Uigurisch bei Google Play<\/h2>\n

Wir beginnen mit einer aktuellen Geschichte. Unsere Experten haben bei Google Play mehrere infizierte Apps<\/a> gefunden, die als Telegram-Versionen f\u00fcr Uigurisch, Chinesisch (vereinfacht) und Chinesisch (traditionell) getarnt sind. Die App-Beschreibungen sind in den jeweiligen Sprachen verfasst und enthalten Bilder, die denen auf der offiziellen Telegram-Seite<\/a> bei Google Play sehr \u00e4hnlich sind.<\/p>\n

Um die Benutzer davon zu \u00fcberzeugen, diese Mods anstelle der offiziellen App herunterzuladen, behauptet der Entwickler, dass sie dank eines auf der ganzen Welt verteilten Netzwerks von Rechenzentren schneller arbeiten als andere Clients.<\/p>\n

\"Spyware-Versionen<\/a>

Versionen von Telegram f\u00fcr Vereinfachtes Chinesisch, Traditionelles Chinesisch und Uigurisch bei Google Play, die Spyware enthalten<\/p><\/div>\n

\u00a0<\/p>\n

Auf den ersten Blick scheinen diese Apps vollwertige Telegram-Klone mit einer lokalisierten Benutzeroberfl\u00e4che zu sein. Alles sieht so aus und funktioniert fast genauso wie das Original.<\/p>\n

Wir haben einen Blick in den Code geworfen und festgestellt, dass es sich bei den Apps nur um leicht modifizierte Versionen der offiziellen App handelt. Es gibt jedoch einen kleinen Unterschied, der den Moderatoren von Google Play entgangen ist: Die infizierten Versionen enthalten ein zus\u00e4tzliches Modul. Es \u00fcberwacht st\u00e4ndig, was im Messenger passiert und sendet Unmengen von Daten an den Command-and-Control-Server der Spyware-Ersteller: Alle Kontakte, gesendete und empfangene Nachrichten mit angeh\u00e4ngten Dateien, Namen der Chats\/Kan\u00e4le, Name und Telefonnummer des Kontoinhabers \u2013 im Wesentlichen die gesamte Korrespondenz des Benutzers. Auch wenn ein Benutzer seinen Namen oder seine Telefonnummer \u00e4ndert, werden diese Informationen an die Angreifer gesendet.<\/p>\n

Fr\u00fcher: Spyware-Versionen von Telegram und Signal bei Google Play<\/h2>\n

Interessanterweise fanden<\/a> Forscher bei ESET vor kurzem eine weitere Spyware-Version von Telegram \u2013 FlyGram. Wahr ist, dass diese hier nicht einmal versucht hat, so zu tun, als w\u00e4re sie offiziell. Stattdessen positionierte sie sich als alternativer Telegram-Client (also nur als Mod) und fand so nicht nur den Weg in Google Play, sondern auch in den Samsung Galaxy Store.<\/p>\n

Noch merkw\u00fcrdiger ist, dass sich seine Sch\u00f6pfer nicht darauf beschr\u00e4nkt haben, nur Telegram zu imitieren. In denselben Stores wurde auch eine infizierte Version von Signal ver\u00f6ffentlicht, die als Signal Plus Messenger bezeichnet wird. Um die Glaubw\u00fcrdigkeit zu erh\u00f6hen, wurden sogar die Websites flygram[.]org und signalplus[.]org f\u00fcr ihre gef\u00e4lschten Apps erstellt.<\/p>\n

\"Signal<\/a>

Es gibt bei Google Play auch einen Spyware-Client f\u00fcr Signal namens Signal Plus Messenger. (Quelle<\/a> )<\/p><\/div>\n

\u00a0<\/p>\n

Im Inneren handelte es sich bei diesen Apps um vollwertige Telegram\/Signal-Messenger, deren Open-Source-Code mit b\u00f6sartigen Zusatzstoffen angereichert war.<\/p>\n

Auf diese Weise hat FlyGram gelernt, Kontakte, Anruflisten, eine Liste mit Google-Konten und andere Informationen vom Smartphone des Opfers zu stehlen und \u201eSicherungskopien\u201c der Korrespondenz zu erstellen, die dann auf dem Server des Angreifers gespeichert werden (obwohl diese \u201eOption \u201c vom Benutzer im ge\u00e4nderten Messenger unabh\u00e4ngig aktiviert werden musste).<\/p>\n

Im Fall von Signal Plus war der Ansatz ein wenig anders. Die Malware sammelte bestimmte Informationen direkt vom Smartphone des Opfers und erm\u00f6glichte es den Angreifern, sich unbemerkt von ihren eigenen Ger\u00e4ten aus beim Signal-Konto des Opfers anzumelden und die gesamte Korrespondenz nahezu in Echtzeit zu lesen.<\/p>\n

FlyGram erschien im Juli 2020 bei Google Play und blieb dort bis Januar 2021, w\u00e4hrend Signal Plus im Juli 2022 in den App-Stores ver\u00f6ffentlicht und erst im Mai 2023 aus Google Play entfernt wurde. Im Samsung Galaxy Store waren laut BleepingComputer<\/a> beide Apps Ende August 2023 noch verf\u00fcgbar. Selbst wenn sie jetzt vollst\u00e4ndig aus diesen Stores verschwunden sind, wie viele ahnungslose Benutzer verwenden weiterhin diese \u201eschnellen und einfachen\u201c Messenger-Mods, die alle ihre Nachrichten neugierigen Blicken aussetzen?<\/p>\n

Infiziertes WhatsApp und Telegram f\u00e4lscht Cryptowallet-Adressen<\/h2>\n

Und erst vor ein paar Monaten entdeckten<\/a> dieselben Sicherheitsforscher eine Reihe von trojanisierten Versionen von WhatsApp und Telegram, die haupts\u00e4chlich auf den Diebstahl von Kryptow\u00e4hrungen ausgerichtet waren. Sie funktionieren, indem sie die Cryptowallet-Adressen in den Nachrichten f\u00e4lschen, um eingehende \u00dcbertragungen abzufangen.<\/p>\n

\"Infiziertes<\/a>

Eine infizierte Version von WhatsApp (links) f\u00e4lscht die Cryptowallet-Adresse in einer Nachricht an den Empf\u00e4nger, der \u00fcber die offizielle, nicht infizierte Version von WhatsApp verf\u00fcgt (rechts). (Quelle<\/a>)<\/p><\/div>\n

\u00a0<\/p>\n

Dar\u00fcber hinaus verwenden einige der gefundenen Versionen Bilderkennung, um Screenshots, die im Speicher des Smartphones gespeichert sind, nach Seed-Phrasen zu durchsuchen \u2013 einer Reihe von Codew\u00f6rtern, die verwendet werden k\u00f6nnen, um volle Kontrolle \u00fcber ein Cryptowallet<\/a> zu erlangen und anschlie\u00dfend zu leeren.<\/p>\n

Ferner haben einige der gef\u00e4lschten Telegram-Apps Benutzerprofilinformationen gestohlen, die in der Telegram-Cloud gespeichert sind: Konfigurationsdateien, Telefonnummern, Kontakte, Nachrichten, gesendete\/empfangene Dateien und so weiter. Im Grunde haben sie alle Benutzerdaten gestohlen, mit Ausnahme von geheimen Chats<\/a>, die auf anderen Ger\u00e4ten erstellt wurden. All diese Apps wurden nicht \u00fcber Google Play, sondern \u00fcber eine Vielzahl von gef\u00e4lschten Websites und YouTube-Kan\u00e4len verbreitet.<\/p>\n

Wie kann ich mich sch\u00fctzen?<\/h2>\n

Zum Schluss noch ein paar Tipps, wie Sie sich vor infizierten Versionen beliebter Messenger sowie vor anderen Bedrohungen f\u00fcr Android-Benutzer sch\u00fctzen k\u00f6nnen:<\/p>\n