Für beliebte Messenger wie Telegram, Signal und WhatsApp gibt es eine ganze Reihe alternativer Clients (nicht zu verwechseln mit Clients wie in (menschliche) Kunden; wer sich für diese verwirrende Sprache entschieden hat, sollte einmal Rede und Antwort stehen). Solche modifizierten Apps – bekannt als Mods – bieten den Benutzern oft Funktionen und Fähigkeiten, die in den offiziellen Clients nicht verfügbar sind.
Während WhatsApp Mods missbilligt und sie regelmäßig aus den offiziellen App-Stores verbannt, hat Telegram nicht nur nie Krieg gegen alternative Clients geführt, sondern fördert auch aktiv deren Erstellung, sodass Telegram-Mods wie Pilze aus dem Boden schießen. Aber sind sie auch sicher?
Leider zeigen mehrere neuere Studien, dass Messenger-Mods mit großer Vorsicht behandelt werden sollten. Obwohl die meisten Benutzer noch immer jeder App blind vertrauen, die bei Google Play verifiziert und veröffentlicht wurde, haben wir immer wieder auf die Gefahren hingewiesen: Wenn Sie eine App bei Google Play herunterladen, können Sie auch einen Trojaner (der mehr als 100 Millionen Mal heruntergeladen wurde!), eine Hintertür, einen bösartigen Abonnenten und/oder jede Menge anderen Mist erwischen.
Das ist gerade aktuell: Infiziertes Telegram auf Chinesisch und Uigurisch bei Google Play
Wir beginnen mit einer aktuellen Geschichte. Unsere Experten haben bei Google Play mehrere infizierte Apps gefunden, die als Telegram-Versionen für Uigurisch, Chinesisch (vereinfacht) und Chinesisch (traditionell) getarnt sind. Die App-Beschreibungen sind in den jeweiligen Sprachen verfasst und enthalten Bilder, die denen auf der offiziellen Telegram-Seite bei Google Play sehr ähnlich sind.
Um die Benutzer davon zu überzeugen, diese Mods anstelle der offiziellen App herunterzuladen, behauptet der Entwickler, dass sie dank eines auf der ganzen Welt verteilten Netzwerks von Rechenzentren schneller arbeiten als andere Clients.
Auf den ersten Blick scheinen diese Apps vollwertige Telegram-Klone mit einer lokalisierten Benutzeroberfläche zu sein. Alles sieht so aus und funktioniert fast genauso wie das Original.
Wir haben einen Blick in den Code geworfen und festgestellt, dass es sich bei den Apps nur um leicht modifizierte Versionen der offiziellen App handelt. Es gibt jedoch einen kleinen Unterschied, der den Moderatoren von Google Play entgangen ist: Die infizierten Versionen enthalten ein zusätzliches Modul. Es überwacht ständig, was im Messenger passiert und sendet Unmengen von Daten an den Command-and-Control-Server der Spyware-Ersteller: Alle Kontakte, gesendete und empfangene Nachrichten mit angehängten Dateien, Namen der Chats/Kanäle, Name und Telefonnummer des Kontoinhabers – im Wesentlichen die gesamte Korrespondenz des Benutzers. Auch wenn ein Benutzer seinen Namen oder seine Telefonnummer ändert, werden diese Informationen an die Angreifer gesendet.
Früher: Spyware-Versionen von Telegram und Signal bei Google Play
Interessanterweise fanden Forscher bei ESET vor kurzem eine weitere Spyware-Version von Telegram – FlyGram. Wahr ist, dass diese hier nicht einmal versucht hat, so zu tun, als wäre sie offiziell. Stattdessen positionierte sie sich als alternativer Telegram-Client (also nur als Mod) und fand so nicht nur den Weg in Google Play, sondern auch in den Samsung Galaxy Store.
Noch merkwürdiger ist, dass sich seine Schöpfer nicht darauf beschränkt haben, nur Telegram zu imitieren. In denselben Stores wurde auch eine infizierte Version von Signal veröffentlicht, die als Signal Plus Messenger bezeichnet wird. Um die Glaubwürdigkeit zu erhöhen, wurden sogar die Websites flygram[.]org und signalplus[.]org für ihre gefälschten Apps erstellt.
Im Inneren handelte es sich bei diesen Apps um vollwertige Telegram/Signal-Messenger, deren Open-Source-Code mit bösartigen Zusatzstoffen angereichert war.
Auf diese Weise hat FlyGram gelernt, Kontakte, Anruflisten, eine Liste mit Google-Konten und andere Informationen vom Smartphone des Opfers zu stehlen und „Sicherungskopien“ der Korrespondenz zu erstellen, die dann auf dem Server des Angreifers gespeichert werden (obwohl diese „Option “ vom Benutzer im geänderten Messenger unabhängig aktiviert werden musste).
Im Fall von Signal Plus war der Ansatz ein wenig anders. Die Malware sammelte bestimmte Informationen direkt vom Smartphone des Opfers und ermöglichte es den Angreifern, sich unbemerkt von ihren eigenen Geräten aus beim Signal-Konto des Opfers anzumelden und die gesamte Korrespondenz nahezu in Echtzeit zu lesen.
FlyGram erschien im Juli 2020 bei Google Play und blieb dort bis Januar 2021, während Signal Plus im Juli 2022 in den App-Stores veröffentlicht und erst im Mai 2023 aus Google Play entfernt wurde. Im Samsung Galaxy Store waren laut BleepingComputer beide Apps Ende August 2023 noch verfügbar. Selbst wenn sie jetzt vollständig aus diesen Stores verschwunden sind, wie viele ahnungslose Benutzer verwenden weiterhin diese „schnellen und einfachen“ Messenger-Mods, die alle ihre Nachrichten neugierigen Blicken aussetzen?
Infiziertes WhatsApp und Telegram fälscht Cryptowallet-Adressen
Und erst vor ein paar Monaten entdeckten dieselben Sicherheitsforscher eine Reihe von trojanisierten Versionen von WhatsApp und Telegram, die hauptsächlich auf den Diebstahl von Kryptowährungen ausgerichtet waren. Sie funktionieren, indem sie die Cryptowallet-Adressen in den Nachrichten fälschen, um eingehende Übertragungen abzufangen.
Darüber hinaus verwenden einige der gefundenen Versionen Bilderkennung, um Screenshots, die im Speicher des Smartphones gespeichert sind, nach Seed-Phrasen zu durchsuchen – einer Reihe von Codewörtern, die verwendet werden können, um volle Kontrolle über ein Cryptowallet zu erlangen und anschließend zu leeren.
Ferner haben einige der gefälschten Telegram-Apps Benutzerprofilinformationen gestohlen, die in der Telegram-Cloud gespeichert sind: Konfigurationsdateien, Telefonnummern, Kontakte, Nachrichten, gesendete/empfangene Dateien und so weiter. Im Grunde haben sie alle Benutzerdaten gestohlen, mit Ausnahme von geheimen Chats, die auf anderen Geräten erstellt wurden. All diese Apps wurden nicht über Google Play, sondern über eine Vielzahl von gefälschten Websites und YouTube-Kanälen verbreitet.
Wie kann ich mich schützen?
Zum Schluss noch ein paar Tipps, wie Sie sich vor infizierten Versionen beliebter Messenger sowie vor anderen Bedrohungen für Android-Benutzer schützen können:
- Wie wir gesehen haben, ist auch Google Play nicht immun gegen Schadsoftware. Allerdings sind offizielle Stores immer noch weitaus sicherer als andere Quellen. Verwenden Sie sie daher immer, um Apps herunterzuladen und zu installieren.
- Wie dieser Beitrag deutlich gemacht hat, sind alternative Clients für beliebte Messenger mit äußerster Vorsicht zu behandeln. Open Source ermöglicht es jedem, Mods zu erstellen – und sie mit allen möglichen bösen Überraschungen auszustatten.
- Bevor Sie auch nur die offiziellste App aus dem offiziellsten Store installieren, sehen Sie sich die Seite genau an und vergewissern Sie sich, dass sie echt ist – achten Sie nicht nur auf den Namen, sondern auch auf den Entwickler. Cyberkriminelle versuchen häufig, Benutzer zu täuschen, indem sie Klone von Apps mit Beschreibungen erstellen, die dem Original ähneln.
- Es ist ratsam, negative Benutzerbewertungen zu lesen – wenn es ein Problem mit einer App gibt, hat es höchstwahrscheinlich bereits jemand bemerkt und darüber geschrieben.
- Und installieren Sie auf all Ihren Android-Geräten einen zuverlässigen Schutz, der Sie warnt, wenn sich Schadsoftware einschleichen will.
- Wenn Sie die kostenlose Version von Kaspersky: Anti-Virus & VPN verwenden, denken Sie daran, Ihr Gerät nach der Installation und vor dem ersten Start einer Anwendung manuell zu untersuchen.
- Die Untersuchung auf Bedrohungen erfolgt in der Vollversion unserer Sicherheitslösung für Android automatisch, sie ist in den Abonnementpaketen Kaspersky Standard, Kaspersky Plus und Kaspersky Premium