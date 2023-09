By

Zusammenfassung: Im Google Play Store wurden mehrere mit Spyware infizierte Versionen der beliebten Messaging-Apps Telegram und Signal entdeckt. Cybersicherheitsforscher bei Kaspersky haben diese bösartigen Apps namens „Evil Telegram“ identifiziert, die Benutzer dazu verleiten, sie herunterzuladen, indem sie sich als legitime Gegenstücke ausgeben. Die gefälschten Apps verfügen über ähnliche Schnittstellen und Funktionalitäten, wodurch es schwierig ist, sie von den echten zu unterscheiden. Nach der Installation sammeln die infizierten Apps vertrauliche Informationen von kompromittierten Android-Geräten, darunter Namen, Benutzer-IDs, Kontakte, Telefonnummern und Chat-Nachrichten. Die gestohlenen Daten werden dann an den Server des Angreifers gesendet. Die mit Spyware infizierten Apps waren als uigurische, vereinfachte und traditionelle chinesische Versionen von Telegram getarnt. Um die Benutzer weiter zu überzeugen, behaupteten die Entwickler, dass diese gefälschten Apps über ein verteiltes Netzwerk von Rechenzentren weltweit schneller funktionieren. Trotz ihrer betrügerischen Natur wurden die infizierten Apps millionenfach heruntergeladen, bevor sie von Google entfernt wurden.

Um ahnungslose Android-Benutzer ins Visier zu nehmen, haben Betrüger die Popularität von Telegram und Signal ausgenutzt, zwei prominenten Alternativen zu WhatsApp, das sich im Besitz von Meta befindet. Diese Messaging-Plattformen sind zwar nicht so bekannt, verfügen aber über eine beträchtliche Nutzerbasis. Ihre relative Unbekanntheit im Vergleich zu WhatsApp hat sie jedoch anfällig für böswillige Akteure gemacht, die ihre wachsende Popularität ausnutzen wollen.

Die mit Spyware infizierten Apps wurden geschickt als legitime Versionen von Telegram getarnt. Sie haben die offizielle App mit passenden Schnittstellenelementen und Funktionalitäten genau nachgeahmt. Die Schadkopien enthielten sogar App-Beschreibungen in der vorgesehenen Sprache und Bilder, die denen auf der offiziellen Telegram-Seite ähnelten. Den Benutzern wurde vorgegaukelt, sie würden die echte Telegram-App herunterladen, nur um dann Opfer der Datenerfassungsmechanismen der Spyware zu werden.

Bei der Untersuchung stellten Cybersicherheitsforscher fest, dass es sich bei den infizierten Apps tatsächlich um modifizierte Versionen der Original-Apps handelte. Der Hauptunterschied bestand in der Aufnahme eines zusätzlichen Moduls in den Code, das die Benutzeraktivität innerhalb des Messengers überwachen soll. Diese Daten wurden dann an den von den Spyware-Erstellern betriebenen Command-and-Control-Server gesendet. Leider gelang es dem Zusatzmodul, der Entdeckung durch die Google Play-Moderatoren zu entgehen, sodass die schädlichen Apps heruntergeladen und von Millionen von Android-Nutzern verwendet werden konnten.

Um nicht Opfer solcher Betrügereien zu werden, ist es wichtig, Apps nur von vertrauenswürdigen Quellen herunterzuladen und ihre Authentizität sorgfältig zu überprüfen. Der Google Play Store und andere App-Marktplätze sollten ständig nach potenziell mit Spyware infizierten Apps Ausschau halten, um die Sicherheit ihrer Benutzer zu gewährleisten.

