IT-Forscher haben aufgepeppte Signal– und Telegram-Apps im Google Play- und Samsung-Store entdeckt. Die spähen jedoch ihre Opfer aus.
Die Viren-Analytiker von Eset haben sowohl im Google-Play-Store als auch im Samsung-Store bösartig manipulierte, vermeintlich aufgepeppte Signal- und Telegram-Apps aufgespürt. Sie enthalten die Spyware Badbazaar und spähen die Kommunikation ihrer Opfer aus. Die Malware stammt laut Eset von der chinesischen kriminellen Vereinigung (Advanced Persistent Threat, APT) Gref.
In ihrer Analyse schreiben die Eset-Forscher, dass die trojanisierten Apps Signal Plus Messenger sowie FlyGram heißen und im Google Play Store, im Samsung Store, weiteren alternativen App-Stores sowie auf eigens dafür eingerichteten Webseiten mit passenden Domainnamen verfügbar waren. Aus Google Play wurden die Apps demnach inzwischen entfernt. Im Samsung-Store und auf anderen Wegen sind sie derzeit weiterhin abrufbar.
Badbazaar: Ursprünglich Uiguren und Minderheiten weiterer türkischer Ethnien ausgespäht
Die Forscher erläutern, dass die Badbazaar-Malware zuvor dafür genutzt wurde, Uiguren und andere Minderheiten mit Turkvolk-Wurzeln auszuspähen. Flygram etwa wurde auch in uigurischen Telegram-Gruppen geteilt.
Die trojanisierten Apps sollen Daten ausschleusen. Flygram liefert den Drahtziehern neben Gerätedaten auch sensible Informationen wie Kontaktlisten, Anruflisten sowie die Liste an Google-Konten. Außerdem kann sie einige Informationen und Einstellungen von Telegram verschicken – allerdings nicht die Kontakte, Nachrichten oder andere sensible Informationen. Sofern Opfer jedoch die Funktion zum Erstellen und Wiederherstellen von Backups aktivieren, erhalten die Drahtzieher vollen Zugriff darauf und nicht nur auf die Metadaten. Die Sicherungen enthalten offenbar jedoch keine Nachrichten. Wird die Funktion aktiviert, liefert der Server eine aufsteigende ID zurück. Der zufolge hatten mindestens rund 14.000 Opfer sie aktiviert.
Der schädliche Signal-Plus-Messenger sammelt ähnliche Gerätedaten und sensible Informationen, sei jedoch darauf spezialisiert, die Kommunikation von Opfern auszuspähen. Sie kann etwa die Signal-PIN abgreifen und die Verknüpfungsfunktion für das Anbinden von Signal-Desktop oder Signal-iPad an das Smartphone missbrauchen, um die komplette Kommunikation mitzuschneiden. Die Funktion hat noch keine andere bekannte Malware enthalten, ergänzen die Virenanalysten.
Trojanisierte Apps: Zahlenmäßige Verbreitung kaum einzuschätzen
In Google Play wurden einige hundert Downloads für Signal Plus Messenger angezeigt. Derartige Zahlen liefern der Samsung Store, andere alternative App-Stores sowie die Webseite jedoch nicht. Flygram ist bereits älter und kam auf rund 5.000 Installationen, bevor die App 2021 immerhin aus Google Play entfernt wurde. Eset konnte Infektionen auf Android-Geräten aus Australien, Brasilien, Dänemark, Deutschland, Hong Kong, Jemen, Kongo, Litauen, Niederlande, Polen, Portugal, Singapur, Spanien, Ukraine, Ungarn und den USA aufspüren.
Die genannten Apps sollten Nutzer umgehend deinstallieren, sollten sie die auf ihrem Smartphone eingerichtet haben. Signal-Nutzer können zudem in den Einstellungen der Original-App unter “Gekoppelte Geräte” prüfen, ob dort unerwünschte oder unbekannte Geräte auftauchen, und die Verbindung gegebenenfalls trennen. In der Analyse listen die IT-Forscher noch Indizien für eine Infektion (Indicators of Compromise, IOCs) auf, an denen sich potenzielle Opfer orientieren können, um die Malware aufzuspüren.
Spionierende Malware schafft es immer wieder in die offiziellen App-Stores der großen Hersteller. Im Juli haben etwa IT-Forscher von Pradeo zwei manipulierte Dateimanager mit rund 1,5 Millionen Installationen in Google Play entdeckt, die große Mengen an Daten an chinesische Server schickten.