Prag, 10. November 2023 (PROTEXT) – Kaspersky-Forscher haben kürzlich einen neuen bösartigen WhatsApp-Spionage-Mod entdeckt, der sich jetzt in einem anderen beliebten Messenger verbreitet – Telegram. Obwohl die modifizierte Version den erklärten Zweck erfüllt, da sie den Benutzerkomfort erhöht, erbeutet sie auch heimlich die persönlichen Daten ihrer Opfer. Diese Malware, von der in nur einem Monat über 340.000 Benutzer betroffen waren, zielt hauptsächlich auf diejenigen ab, die auf Arabisch und Aserbaidschanisch kommunizieren. Opfer wurden jedoch weltweit entdeckt.

Menschen greifen häufig auf Mods ihrer bevorzugten Instant-Messaging-Apps (IM) zurück, um weitere Funktionen zu erhalten. Einige dieser von Dritten erstellten Mods verbessern die Funktionalität, enthalten aber auch versteckte Malware. Kaspersky hat eine neue Modifikation von WhatsApp identifiziert, die zusätzliche Funktionen wie geplante Nachrichten und Anpassungsoptionen bietet, aber auch ein bösartiges Spyware-Modul enthält.

Die geänderte WhatsApp-Clientdatei enthält verdächtige Komponenten (Dienst und Rundfunkempfänger), die nicht in der Originalversion enthalten sind. Der Empfänger initiiert den Dienst und startet das Spionagemodul, wenn das Telefon eingeschaltet ist oder aufgeladen wird. Nach der Aktivierung sendet das bösartige Implantat eine Nachricht mit Gerätedaten an den Server des Angreifers. Zu diesen Daten gehören IMEI, Telefonnummer, Länder- und Netzwerkcodes und andere Informationen. Es überträgt außerdem alle fünf Minuten die Kontakte und Kontodaten des Opfers und kann sogar eine Mikrofonaufzeichnung einrichten und Dateien aus einem externen Speicher herausfiltern.

Die bösartige Version infiltrierte beliebte Telegram-Kanäle, die sich hauptsächlich an arabisch- und aserbaidschanischsprachige Benutzer richten. Einige dieser Kanäle haben fast zwei Millionen Abonnenten. Kaspersky-Forscher machten daher Telegram auf das Problem aufmerksam. Die Telemetrie von Kaspersky identifizierte allein im Oktober mehr als 340.000 Angriffe mit diesem Mod, und diese Bedrohung trat erst vor relativ kurzer Zeit auf – sie wurde Mitte August 2023 aktiv.

Die meisten Angriffe wurden in Aserbaidschan, Saudi-Arabien, Jemen, der Türkei und Ägypten registriert. Obwohl unter den Opfern überwiegend arabisch- und aserbaidschanischsprachige Nutzer sind, waren auch Menschen aus den USA, Russland, Großbritannien, Deutschland und anderen Ländern betroffen.

Kaspersky-Produkte erkennen einen Trojaner mit dem Namen Trojan-Spy.AndroidOS.CanesSpy.

„Menschen vertrauen natürlich Apps aus hoch angesehenen Quellen, aber Betrüger missbrauchen dieses Vertrauen. Die Verbreitung bösartiger Mods über beliebte Plattformen von Drittanbietern unterstreicht die Bedeutung der Verwendung offizieller IM-Clients. Wenn Sie jedoch zusätzliche Funktionen benötigen, die nicht im ursprünglichen Client enthalten sind, sollten Sie den Einsatz einer seriösen Sicherheitslösung zum Schutz Ihrer Daten in Betracht ziehen, bevor Sie Software von Drittanbietern installieren. Um den Schutz personenbezogener Daten zu verbessern, laden Sie Apps immer nur aus offiziellen App-Stores oder offiziellen Websites herunter.“ sagt Dmitri KalininSicherheitsexperte bei Kaspersky.

Um die Sicherheit zu gewährleisten, empfehlen Kaspersky-Experten:

• Offizielle Stores nutzen: Laden Sie Apps von vertrauenswürdigen und offiziellen Quellen herunter. Vermeiden Sie App-Stores von Drittanbietern, da dort ein höheres Risiko besteht, dass diese bösartige oder kompromittierte Apps anbieten.
• Verwenden Sie seriöse Sicherheitssoftware: Installieren Sie Antiviren- und Anti-Malware-Software auf Geräten. Scannen Sie Ihr Gerät regelmäßig auf potenzielle Bedrohungen und halten Sie Ihre Software auf dem neuesten Stand. Die Lösung schützt Benutzer vor bekannten und unbekannten Bedrohungen Kaspersky Premium.
• Verfolgen Sie Informationen zu den häufigsten Betrugsarten: Bleiben Sie über die neuesten Cyber-Bedrohungen und -Taktiken auf dem Laufenden. Seien Sie vorsichtig bei unerwarteten Anfragen, verdächtigen Angeboten oder dringenden Anfragen nach persönlichen oder finanziellen Informationen.

ČTK veröffentlicht einen Bildanhang zum Bericht, der unter verfügbar ist http://www.protext.cz.

Teile den Artikel, bevor ich ihn lösche