WhatsApp- und Telegram-Klone stehlen Bitcoins & Co.

Kunden mit Android-Geräten und Windows-Rechnern sollten Apps auf Klone und Trojaner kontrollieren

Autor: Nick L.

Die Forscher des IT-Sicherheitsherstellers ESET entdeckten gefährliche Kopien, also Klone, der beliebten Messenger-Apps WhatsApp und Telegram. Alle haben es auf die Kryptowährungen und Wallets ihrer Opfer abgesehen. Die Verbreitung der trojanisierten App-Versionen erfolgt über Dutzende von nachgeahmten Telegram- und WhatsApp-Websites, die insbesondere auf Android- und Windows-Nutzer abzielen. Bei den meisten der identifizierten bösartigen Apps handelt es sich um sogenannte Clipper: eine Art von Malware, die den Inhalt der Zwischenablage stiehlt oder verändert. Darüber hinaus verwenden einige dieser Anwendungen die optische Zeichenerkennung (OCR), um Text aus Screenshots zu erkennen, die auf den kompromittierten Geräten gespeichert sind.

Messenger-Klone: Gut geplanter Betrug

Die Angreifer platzierten zunächst Google-Anzeigen, die zu betrügerischen YouTube-Kanälen führten. Diese wiederum leiteten dann die Betrachter auf gefälschte Telegram- und WhatsApp-Webseiten um. ESET Research meldete die betrügerischen Anzeigen und die damit verknüpften YouTube-Kanäle umgehend an Google, das alle umgehend abschaltete. Es ist jedoch davon auszugehen, dass neue Werbung geschaltet wird oder bereits wurde.

„Das Hauptziel der von uns entdeckten Clipper besteht darin, die Messaging-Kommunikation des Opfers abzufangen. Alle gesendeten und empfangenen Kryptowährungs-Wallet-Adressen wurden durch Adressen ersetzt, die den Angreifern gehören. Zusätzlich zu den trojanisierten WhatsApp- und Telegram-Apps für Android haben wir auch Windows-Versionen derselben Apps gefunden.“

ESET-Forscher Lukáš Štefanko.

Obwohl sie den gleichen Zweck erfüllen, enthalten die trojanisierten Versionen dieser Apps verschiedene zusätzliche Funktionen. Erstmals nutzen die analysierten Android-Clipper OCR (optical character recognition), um Text aus Screenshots und gespeicherten Fotos auf dem Gerät des Opfers zu extrahieren: zum Beispiel, um den Zugangsschlüssel für das Wallet (Seed-Phrase) herauszufinden. Sie besteht aus einer beliebigen Kombination von 12 oder 24 Wörtern und sichert die gespeicherten Coins gegen den Zugriff Dritter. Sobald die böswilligen Akteure in den Besitz einer Seed-Phrase gelangen, können sie alle Kryptowährungen direkt aus der zugehörigen Geldbörse stehlen.

In einem anderen Fall tauschte die Malware während der Chat-Kommunikation einfach die Adresse der Kryptowährungs-Geldbörse des Opfers gegen die Adresse des Angreifers aus. Dabei wurden die Adressen entweder fest codiert oder dynamisch vom Server des Angreifers abgerufen. In einem anderen Fall überwachte die Malware die Telegram-Kommunikation auf bestimmte Schlüsselwörter im Zusammenhang mit Kryptowährungen. Sobald ein solches Schlüsselwort erkannt wird, sendet die Malware die gesamte Nachricht an den Server des Angreifers.

Auch Windows-Apps sind betroffen

ESET Research fand auch Windows-Versionen der Wallet-Switching-Clipper sowie Telegram- und WhatsApp-Installationsprogramme für Windows, die mit Remote Access Trojanern (RATs) gebündelt waren. Abweichend vom üblichen Muster besteht eines der Windows-bezogenen Malware-Bündel nicht aus Clippern, sondern aus RATs, die eine vollständige Kontrolle über das System des Opfers ermöglichen. Auf diese Weise sind die RATs in der Lage, Geldbörsen für Kryptowährungen zu stehlen, ohne den Anwendungsfluss abzufangen.

„Installieren Sie Apps nur aus vertrauenswürdigen und zuverlässigen Quellen wie dem Google Play Store und speichern Sie keine unverschlüsselten Bilder oder Screenshots mit sensiblen Informationen auf Ihrem Gerät. Wenn Sie glauben, dass Sie eine trojanisierte Version von Telegram oder WhatsApp haben, entfernen Sie diese manuell von Ihrem Gerät und laden Sie die App entweder von Google Play oder direkt von der legitimen Website herunter. Wenn Sie vermuten, dass Ihre Telegram-App für Windows bösartig ist, sollten Sie eine Sicherheitslösung verwenden, die die Bedrohung erkennt und sie für Sie entfernt. Die einzige offizielle Version von WhatsApp für Windows ist derzeit im Microsoft Store erhältlich.“

ESET-Forscher Lukáš Štefanko.

Ausgehend von der Sprache, die in den gefälschten Apps verwendet wird, scheint es, dass die dahinter stehenden Betreiber hauptsächlich chinesischsprachige Nutzer ansprechen. Es kann aber nicht ausgeschlossen werden, dass die Angreifer auch in Europa aktiv sind. Einige der gefälschten Whatsapp- und Telegram-Seiten waren in englischer Sprache.

Weitere technische Informationen über die in Instant-Messaging-Apps eingebauten Clipper sind in einem Blogbeitrag auf Welivesecurity.de zu finden.

Quelle:

Pressetext
Schon gelesen? Verschiedene Seiten auf Facebook geben in Beiträgen an, dass es die Möglichkeit gäbe, eine Jahreskarte der DB (Deutsche Bahn) um nur 1,95 Euro zu erhalten. Mimikama klärt auf: Deutsche Bahn: Keine Jahreskarte um 1,95 Euro!
Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.