Prag, 10. November 2023 (PROTEX) – Kaspersky-Forscher haben kürzlich einen neuen bösartigen WhatsApp-Spionage-Mod entdeckt, der sich jetzt auf einem anderen beliebten Messenger verbreitet – Telegram. Obwohl die modifizierte Version ihren erklärten Zweck erfüllt, da sie den Benutzerkomfort erhöht, erbeutet sie auch heimlich die persönlichen Daten ihrer Opfer. Diese Schadsoftware, die in nur einem Monat mehr als 340.000 Benutzer angegriffen hat, zielt in erster Linie auf diejenigen ab, die auf Arabisch und Aserbaidschanisch kommunizieren, ihre Opfer wurden jedoch auf der ganzen Welt entdeckt.

Menschen greifen häufig auf Mods ihrer bevorzugten Instant-Messaging-Apps (IM) zurück, um weitere Funktionen zu erhalten. Einige dieser von Dritten erstellten Mods verbessern die Funktionalität, enthalten aber auch versteckte Malware. Kaspersky hat eine neue Modifikation von WhatsApp identifiziert, die zusätzliche Funktionen wie geplante Nachrichten und Anpassungsoptionen bietet, aber auch schädliche Spyware-Module enthält.

Die geänderte WhatsApp-Clientdatei enthält verdächtige Komponenten (Dienste und Rundfunkempfänger), die in der Originalversion nicht vorhanden sind. Der Empfänger startet den Dienst und startet das Spionagemodul, wenn das Telefon eingeschaltet ist oder aufgeladen wird. Nach der Aktivierung sendet das bösartige Implantat Nachrichten mit Gerätedaten an den Server des Angreifers. Zu diesen Daten gehören IMEI, Telefonnummer, Länder- und Netzwerkcode sowie andere Informationen. Es überträgt außerdem alle fünf Minuten die Kontakte und Kontodaten des Opfers und kann sogar eine Mikrofonaufzeichnung einrichten und Dateien aus einem externen Speicher extrahieren.

Diese bösartige Version infiltrierte beliebte Telegram-Kanäle, die sich hauptsächlich an arabisch- und aserbaidschanischsprachige Benutzer richteten, wobei einige dieser Kanäle fast zwei Millionen Abonnenten hatten. Daher informierten Kaspersky-Forscher Telegram über dieses Problem. Kaspersky Telemetry identifizierte allein im Oktober mehr als 340.000 Angriffe mit diesem Mod, und diese Bedrohung trat erst vor relativ kurzer Zeit auf – sie wurde Mitte August 2023 aktiv.

Die meisten Angriffe wurden in Aserbaidschan, Saudi-Arabien, Jemen, der Türkei und Ägypten registriert. Obwohl die Zahl der Opfer überwiegend Arabisch und Aserbaidschanisch sprach, waren auch Menschen aus den USA, Russland, Großbritannien, Deutschland und anderen Ländern betroffen.

Kaspersky-Produkte erkennen einen Trojaner mit dem Namen Trojan-Spy.AndroidOS.CanesSpy.

„Menschen vertrauen natürlich Apps aus hoch angesehenen Quellen, aber Betrüger missbrauchen dieses Vertrauen. Die Verbreitung bösartiger Mods über beliebte Plattformen von Drittanbietern unterstreicht die Bedeutung der Verwendung offizieller IM-Clients. Wenn Sie jedoch zusätzliche Funktionen benötigen, die nicht im nativen Client enthalten sind, sollten Sie den Einsatz einer seriösen Sicherheitslösung zum Schutz Ihrer Daten in Betracht ziehen, bevor Sie Software von Drittanbietern installieren. Um den Schutz personenbezogener Daten zu verbessern, laden Sie Apps immer nur aus offiziellen App-Stores oder offiziellen Websites herunter.“ sagte Dmitri KalininSicherheitsexperte bei Kaspersky.

Um die Sicherheit zu gewährleisten, empfehlen Kaspersky-Experten:

• Offizielle Stores nutzen: Laden Sie Apps von vertrauenswürdigen und offiziellen Quellen herunter. Vermeiden Sie App-Stores von Drittanbietern, da dort ein höheres Risiko besteht, dass diese bösartige oder kompromittierte Apps anbieten.
• Verwenden Sie seriöse Sicherheitssoftware: Installieren Sie Antiviren- und Anti-Malware-Software auf dem Gerät. Scannen Sie Ihr Gerät regelmäßig auf potenzielle Bedrohungen und halten Sie Ihre Software auf dem neuesten Stand. Diese Lösung schützt Benutzer vor bekannten und unbekannten Bedrohungen Kaspersky Premium.
• Verfolgen Sie Informationen zu den häufigsten Betrugsarten: Bleiben Sie über die neuesten Cyber-Bedrohungen und -Taktiken auf dem Laufenden. Seien Sie vorsichtig bei unerwarteten Anfragen, verdächtigen Angeboten oder dringenden Anfragen nach persönlichen oder finanziellen Informationen.

ČTK hat einen grafischen Anhang zum Bericht veröffentlicht, der unter verfügbar ist http://www.protext.cz.

Teilen Sie diesen Artikel, bevor ich ihn lösche