zurück zum Artikel

Android-Malware: Badbazaar wurde im Google Play Store und Samsung-Store verteilt

Dirk Knop

(Bild: iHaMoo/Shutterstock.com)

IT-Forscher haben aufgepeppte Signal- und Telegram-Apps im Google Play- und Samsung-Store entdeckt. Die spÀhen jedoch ihre Opfer aus.

Die Viren-Analytiker von Eset haben sowohl im Google-Play-Store als auch im Samsung-Store bösartig manipulierte, vermeintlich aufgepeppte Signal- und Telegram-Apps aufgespĂŒrt. Sie enthalten die Spyware Badbazaar und spĂ€hen die Kommunikation ihrer Opfer aus. Die Malware stammt laut Eset von der chinesischen kriminellen Vereinigung (Advanced Persistent Threat, APT) Gref.

In ihrer Analyse schreiben die Eset-Forscher [1], dass die trojanisierten Apps Signal Plus Messenger sowie FlyGram heißen und im Google Play Store, im Samsung Store, weiteren alternativen App-Stores sowie auf eigens dafĂŒr eingerichteten Webseiten mit passenden Domainnamen verfĂŒgbar waren. Aus Google Play wurden die Apps demnach inzwischen entfernt. Im Samsung-Store und auf anderen Wegen sind sie derzeit weiterhin abrufbar.

Badbazaar: UrsprĂŒnglich Uiguren und Minderheiten weiterer tĂŒrkischer Ethnien ausgespĂ€ht

Die Forscher erlĂ€utern, dass die Badbazaar-Malware zuvor dafĂŒr genutzt wurde, Uiguren und andere Minderheiten mit Turkvolk-Wurzeln auszuspĂ€hen. Flygram etwa wurde auch in uigurischen Telegram-Gruppen geteilt.

Die trojanisierten Apps sollen Daten ausschleusen. Flygram liefert den Drahtziehern neben GerĂ€tedaten auch sensible Informationen wie Kontaktlisten, Anruflisten sowie die Liste an Google-Konten. Außerdem kann sie einige Informationen und Einstellungen von Telegram verschicken – allerdings nicht die Kontakte, Nachrichten oder andere sensible Informationen. Sofern Opfer jedoch die Funktion zum Erstellen und Wiederherstellen von Backups aktivieren, erhalten die Drahtzieher vollen Zugriff darauf und nicht nur auf die Metadaten. Die Sicherungen enthalten offenbar jedoch keine Nachrichten. Wird die Funktion aktiviert, liefert der Server eine aufsteigende ID zurĂŒck. Der zufolge hatten mindestens rund 14.000 Opfer sie aktiviert.

Der schĂ€dliche Signal-Plus-Messenger sammelt Ă€hnliche GerĂ€tedaten und sensible Informationen, sei jedoch darauf spezialisiert, die Kommunikation von Opfern auszuspĂ€hen. Sie kann etwa die Signal-PIN abgreifen und die VerknĂŒpfungsfunktion fĂŒr das Anbinden von Signal-Desktop oder Signal-iPad an das Smartphone missbrauchen, um die komplette Kommunikation mitzuschneiden. Die Funktion hat noch keine andere bekannte Malware enthalten, ergĂ€nzen die Virenanalysten.

Trojanisierte Apps: ZahlenmĂ€ĂŸige Verbreitung kaum einzuschĂ€tzen

In Google Play wurden einige hundert Downloads fĂŒr Signal Plus Messenger angezeigt. Derartige Zahlen liefern der Samsung Store, andere alternative App-Stores sowie die Webseite jedoch nicht. Flygram ist bereits Ă€lter und kam auf rund 5.000 Installationen, bevor die App 2021 immerhin aus Google Play entfernt wurde. Eset konnte Infektionen auf Android-GerĂ€ten aus Australien, Brasilien, DĂ€nemark, Deutschland, Hong Kong, Jemen, Kongo, Litauen, Niederlande, Polen, Portugal, Singapur, Spanien, Ukraine, Ungarn und den USA aufspĂŒren.

Die genannten Apps sollten Nutzer umgehend deinstallieren, sollten sie die auf ihrem Smartphone eingerichtet haben. Signal-Nutzer können zudem in den Einstellungen der Original-App unter "Gekoppelte GerĂ€te" prĂŒfen, ob dort unerwĂŒnschte oder unbekannte GerĂ€te auftauchen, und die Verbindung gegebenenfalls trennen. In der Analyse listen die IT-Forscher noch Indizien fĂŒr eine Infektion (Indicators of Compromise, IOCs) auf, an denen sich potenzielle Opfer orientieren können, um die Malware aufzuspĂŒren.

Spionierende Malware schafft es immer wieder in die offiziellen App-Stores der großen Hersteller. Im Juli haben etwa IT-Forscher von Pradeo zwei manipulierte Dateimanager mit rund 1,5 Millionen Installationen in Google Play entdeckt [2], die große Mengen an Daten an chinesische Server schickten.

Jetzt heise security PRO entdecken Jetzt heise security PRO entdecken [3]

(dmk [4])

URL dieses Artikels:
https://www.heise.de/-9290217

Links in diesem Artikel:
[1] https://www.welivesecurity.com/en/eset-research/badbazaar-espionage-tool-targets-android-users-trojanized-signal-telegram-apps/
[2] https://www.heise.de/news/Android-Malware-Falsche-Dateimanager-mit-ueber-1-5-Millionen-Installationen-9211287.html
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:dmk@heise.de

Copyright © 2023 Heise Medien