All Stories
Follow
Subscribe to ESET Deutschland GmbH

ESET Deutschland GmbH

ESET Research: WhatsApp- und Telegram-Klone stehlen Bitcoins & Co.

Jena (ots)

Die Forscher des IT-Sicherheitsherstellers ESET entdeckten gefährliche Kopien der beliebten Messenger Apps WhatsApp und Telegram. Alle haben es auf die Kryptowährungen und Wallets ihrer Opfer abgesehen. Die Verbreitung der trojanisierten App-Versionen erfolgt über Dutzende von nachgeahmten Telegram- und WhatsApp-Websites, die insbesondere auf Android- und Windows-Nutzer abzielen. Bei den meisten der identifizierten bösartigen Apps handelt es sich um sogenannte Clipper: eine Art von Malware, die den Inhalt der Zwischenablage stiehlt oder verändert. Darüber hinaus verwenden einige dieser Anwendungen die optische Zeichenerkennung (OCR), um Text aus Screenshots zu erkennen, die auf den kompromittierten Geräten gespeichert sind.

Gut geplanter Betrug

Die Angreifer platzierten zunächst Google-Anzeigen, die zu betrügerischen YouTube-Kanälen führten. Diese wiederum leiteten dann die Betrachter auf gefälschte Telegram- und WhatsApp-Webseiten um. ESET Research meldete die betrügerischen Anzeigen und die damit verknüpften YouTube-Kanäle umgehend an Google, das alle umgehend abschaltete. Es ist jedoch davon auszugehen, dass neue Werbung geschaltet wird oder bereits wurde.

"Das Hauptziel der von uns entdeckten Clipper besteht darin, die Messaging-Kommunikation des Opfers abzufangen. Alle gesendeten und empfangenen Kryptowährungs-Wallet-Adressen wurden durch Adressen ersetzt, die den Angreifern gehören. Zusätzlich zu den trojanisierten WhatsApp- und Telegram-Apps für Android haben wir auch Windows-Versionen derselben Apps gefunden", sagt ESET-Forscher Lukas Stefanko.

Obwohl sie den gleichen Zweck erfüllen, enthalten die trojanisierten Versionen dieser Apps verschiedene zusätzliche Funktionen. Erstmals nutzen die analysierten Android-Clipper OCR (optical character recognition), um Text aus Screenshots und gespeicherten Fotos auf dem Gerät des Opfers zu extrahieren: zum Beispiel, um den Zugangsschlüssel für das Wallet (Seed-Phrase) herauszufinden. Sie besteht aus einer beliebigen Kombination von 12 oder 24 Wörtern und sichert die gespeicherten Coins gegen den Zugriff Dritter. Sobald die böswilligen Akteure in den Besitz einer Seed-Phrase gelangen, können sie alle Kryptowährungen direkt aus der zugehörigen Geldbörse stehlen.

In einem anderen Fall tauschte die Malware während der Chat-Kommunikation einfach die Adresse der Kryptowährungs-Geldbörse des Opfers gegen die Adresse des Angreifers aus. Dabei wurden die Adressen entweder fest codiert oder dynamisch vom Server des Angreifers abgerufen. In einem anderen Fall überwachte die Malware die Telegram-Kommunikation auf bestimmte Schlüsselwörter im Zusammenhang mit Kryptowährungen. Sobald ein solches Schlüsselwort erkannt wird, sendet die Malware die gesamte Nachricht an den Server des Angreifers.

Auch Windows-Apps sind betroffen

ESET Research fand auch Windows-Versionen der Wallet-Switching-Clipper sowie Telegram- und WhatsApp-Installationsprogramme für Windows, die mit Remote Access Trojanern (RATs) gebündelt waren. Abweichend vom üblichen Muster besteht eines der Windows-bezogenen Malware-Bündel nicht aus Clippern, sondern aus RATs, die eine vollständige Kontrolle über das System des Opfers ermöglichen. Auf diese Weise sind die RATs in der Lage, Geldbörsen für Kryptowährungen zu stehlen, ohne den Anwendungsfluss abzufangen.

"Installieren Sie Apps nur aus vertrauenswürdigen und zuverlässigen Quellen wie dem Google Play Store und speichern Sie keine unverschlüsselten Bilder oder Screenshots mit sensiblen Informationen auf Ihrem Gerät. Wenn Sie glauben, dass Sie eine trojanisierte Version von Telegram oder WhatsApp haben, entfernen Sie diese manuell von Ihrem Gerät und laden Sie die App entweder von Google Play oder direkt von der legitimen Website herunter", rät Stefanko. "Wenn Sie vermuten, dass Ihre Telegram-App für Windows bösartig ist, sollten Sie eine Sicherheitslösung verwenden, die die Bedrohung erkennt und sie für Sie entfernt. Die einzige offizielle Version von WhatsApp für Windows ist derzeit im Microsoft Store erhältlich."

Ausgehend von der Sprache, die in den gefälschten Apps verwendet wird, scheint es, dass die dahinter stehenden Betreiber hauptsächlich chinesischsprachige Nutzer ansprechen. Es kann aber nicht ausgeschlossen werden, dass die Angreifer auch in Europa aktiv sind. Einige der gefälschten Whatsapp- und Telegram-Seiten waren in englischer Sprache.

Weitere technische Informationen über die in Instant-Messaging-Apps eingebauten Clipper finden Sie im Blogbeitrag auf Welivesecurity.de: https://ots.de/prPgIw

Pressekontakt:

ESET Deutschland GmbH

Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de

Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de



Folgen Sie ESET:
http://www.ESET.de

ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland

Original content of: ESET Deutschland GmbH, transmitted by news aktuell

More stories: ESET Deutschland GmbH
More stories: ESET Deutschland GmbH
  • 02.03.2023 – 11:42

    Chinesische Hackergruppe attackiert Europa mit neuer Backdoor

    Jena (ots) - Die chinesische Hackergruppe Mustang Panda forciert ihre Angriffe auf Ziele in Europa, Australien und Taiwan. Forscher des IT-Sicherheitsherstellers ESET deckten eine aktuell noch laufende Kampagne auf, bei der die neu entwickelte Backdoor MQsTTang zum Einsatz kommt. Diese ermöglicht den Angreifern, beliebige Befehle auf dem Rechner des Opfers ...

  • 01.03.2023 – 11:30

    ESET Sicherheitswarnung: Erstmals umgeht Bootkit das UEFI Secure Boot von Windows

    Jena (ots) - Alarmstufe Rot für Windows-Anwender: ESET Forscher haben ein Bootkit identifiziert, das wesentliche Sicherheitsmerkmale von UEFI Secure Boot - einem Sicherheitssystem von Windows - zu umgehen vermag. Selbst ein vollständig aktuelles Windows 11-System mit aktiviertem Secure Boot stellt für das Schadprogramm kein Problem dar. Aufgrund der Funktionalität ...