Mobile Anwendungen bringen die Welt in Schwung. Instant-Kommunikationsdienste gehören zu den beliebtesten Apps auf iOS und Android gleichermaßen. Das gemeinnützige US-Unternehmen Signal hat schätzungsweise 40 Millionen Nutzer, bei Telegram, einem weiteren Open-Source-Messaging-Dienst, sind es sogar 700 Millionen. Derweil ist WhatsApp, das sich im Besitz vom Facebook-Mutterkonzern Meta befindet, mit geschätzten zwei Milliarden monatlich aktiven Nutzern der unangefochtene Weltmarktführer.

Ihre Popularität hat jedoch auch die Aufmerksamkeit von Bedrohungsakteuren auf sich gezogen, die einen Weg finden wollen, um Malware auf Ihr Gerät zu schleusen. Das könnte Sie und sogar Ihren Arbeitgeber teuer zu stehen kommen.

Die Cyber-Risiken von bösartigen Nachahmer-Apps

Böswillige Entwickler sind inzwischen ziemlich geschickt darin, Benutzer zum Herunterladen ihrer "Produkte" zu verleiten. Oftmals erstellen sie bösartige Nachahmer-Apps, die legitime Apps imitieren sollen. Sie können diese dann über Phishing-Nachrichten in E-Mails, per Textnachricht, in sozialen Medien oder über die Kommunikations-App selbst verbreiten und das Opfer auf eine Betrugsseite leiten, die es zur Installation einer vermeintlich offiziellen App verleitet. In seltenen Fällen gelangen legitim aussehende, gefälschten Apps sogar trotz strenger Prüfverfahren in den Google Play oder Apple Store.

Wenn Sie jedoch eine bösartige App herunterladen und auf Ihrem Telefon installieren, können Sie sich oder Ihren Arbeitgeber einer Reihe von Gefahren aussetzen, darunter:

  • Diebstahl sensibler persönlicher Daten, die im Dark Web an Identitätsbetrüger verkauft werden könnten
  • Diebstahl von Bank-/Finanzdaten, die zum Stehlen von Geldern verwendet werden könnten
  • Leistungsprobleme, da bösartige Anwendungen die Einstellungen und Funktionen des Geräts ändern und es dadurch verlangsamen können
  • Adware, die das Gerät mit unbemerkter Werbung überflutet und so die Nutzung erschwert
  • Spionageprogramme (Spyware), die Gespräche, Nachrichten und andere Informationen abhören
  • Ransomware, die das Gerät vollständig sperrt, bis "Lösegeld" gezahlt wird
  • Premium-Dienste oder gar -Abos, die von der Malware heimlich genutzt werden können, wodurch hohe Rechnungen anfallen
  • Diebstahl von Logins für sensible Konten, die an Betrüger verkauft werden können
  • Cyberangriffe auf Unternehmen, die darauf abzielen, Ihre Arbeits-Logins oder Login-Daten zu stehlen, um auf sensible Unternehmensdaten zuzugreifen oder Ransomware zu installieren
Figure 1. Websites mimicking Telegram and WhatsApp
Abbildung 1. Websites, die Telegram und WhatsApp imitieren

Was ESET beobachtet hat

Diese Bedrohungen haben sich in den letzten Jahren immer weiter verbreitet. Bei einigen handelt es sich um opportunistische Angriffe auf ein breites Spektrum von Verbrauchern, während andere gezielter sind. Zu den bemerkenswertesten bösartigen Nachahmer-Apps, die ESET beobachtet hat, gehören:

  • Eine gefälschte Update-Kampagne aus dem Jahr 2021, die sich auf WhatsApp, Signal und anderen Messaging-Apps über Phishing-Nachrichten verbreitete, die vorgab, der Empfänger könne ein neues Farbdesign für WhatsApp erhalten. In Wirklichkeit handelte es sich bei dem rosafarbenen WhatsApp-Theme um Trojaner-Malware, die automatisch auf in WhatsApp und anderen Messaging-Apps empfangene Nachrichten mit einem bösartigen Link antwortete.
  • Dutzende von nachgeahmten WhatsApp- und Telegram-Websites, die bösartige Messaging-Apps anpreisen, die als "Clipper" bekannt sind und dazu dienen, den Inhalt der Zwischenablage des Geräts zu stehlen oder zu verändern. Die Opfer wurden zunächst durch Google-Anzeigen angelockt, die zu betrügerischen YouTube-Kanälen führten, die sie dann auf die nachgeahmten Websites weiterleiteten. Nach der Installation waren die Apps so konzipiert, dass sie die Chatnachrichten der Opfer abfingen, um deren sensible Daten und Kryptowährungsgelder zu stehlen.
  • In China beheimatete Hacker versteckten Cyberspionage-Malware mit dem Namen Android BadBazaar in legitim aussehenden Signal- und Telegram-Apps. Beide App-Typen schafften es durch die offizielle Überprüfung und in den Google Play und Samsung Galaxy Store, bevor Google/Samsung darauf aufmerksam wurden.

Figure 2. The malicious Signal Plus Messenger app once available on Google Play (left) and Samsung Galaxy Store (right)
Abbildung 2. Die bösartige Signal Plus Messenger-App, die einst bei Google Play (links) und im Samsung Galaxy Store (rechts) erhältlich war

Vorsichtsmaßnahmen gegen bösartige Apps

Während WhatsApp inoffizielle Versionen seiner App ausdrücklich verbietet, ermutigt das quelloffene Telegram Entwickler von Drittanbietern, ihre eigenen Telegram-Clients zu erstellen. Das kann die Unterscheidung zwischen echten und gefälschten Apps für Benutzer noch schwieriger machen. Es gibt jedoch einige Dinge, die Sie tun können, um die Wahrscheinlichkeit zu verringern, dass etwas Böses auf Ihrem Gerät installiert wird.

Hier ist eine kurze Checkliste:

  • Halten Sie sich immer an die offiziellen Android-App-Stores, da diese über strenge Prüfverfahren verfügen, um bösartige Apps von der Plattform fernzuhalten.
  • Halten Sie Ihr mobiles Betriebssystem und Ihre Software immer auf dem neuesten Stand, da Malware oft versucht, Fehler in älteren Versionen auszunutzen.
  • Prüfen Sie vor dem Herunterladen immer den Ruf des Entwicklers im Internet und alle Bewertungen der App - achten Sie auf Hinweise auf Betrug.
  • Deinstallieren Sie alle Apps, die Sie nicht verwenden, damit Sie leichter den Überblick behalten, was sich auf Ihrem Gerät befindet.
  • Klicken Sie nicht auf Links oder Anhänge, insbesondere dann nicht, wenn diese in unaufgeforderten Nachrichten in sozialen Medien oder E-Mails erscheinen und Sie auffordern, Software von Websites Dritter herunterzuladen.
  • Vermeiden Sie es, auf Online-Werbung zu klicken, da diese Teil eines Betrugs sein kann, der Sie zu einer bösartigen Nachahmer-App führen soll.
  • Seien Sie vorsichtig, wenn Sie einer App Berechtigungen erteilen, die scheinbar nichts mit ihrer Funktionalität zu tun haben, denn es könnte sich um Malware handeln, die versucht, auf Ihre Daten zuzugreifen.
  • Verwenden Sie immer eine mobile Sicherheitslösung eines seriösen Anbieters, da dies dazu beiträgt, bösartige Installationen zu blockieren und/oder zu verhindern, dass Malware auf Ihrem Gerät funktioniert.
  • Ziehen Sie in Erwägung, für Ihre Konten biometrische Logins anstelle von einfachen Passwörtern zu verwenden.
  • Laden Sie niemals etwas von risikoreichen Websites herunter, wie z. B. von vielen Plattformen für Erwachsenenunterhaltung oder Spiele.

 

Figure 3. A trojanized Telegram app for Android
Abbildung 3. Eine trojanisierte Telegram-App für Android

So erkennen Sie die Anzeichen einer gefälschten App

Es lohnt sich auch, nach ungewöhnlichen Aktivitäten auf Ihrem Gerät Ausschau zu halten, für den Fall, dass sich trotz Ihrer besten Bemühungen Malware einschleicht. In diesem Sinne, denken Sie daran:

  • Wenn der Name der App, die Beschreibung und die Behauptungen, es handele sich um eine "offizielle App", aber die Angaben zum Entwickler nicht übereinstimmen, ist die Wahrscheinlichkeit hoch, dass es sich um eine gefälschte App handelt.
  • Achten Sie auf anhaltende Popup-Werbung, da dies bedeuten kann, dass Sie Adware installiert haben.
  • Halten Sie Ausschau nach ungewöhnlichen Symbolen auf Ihrem Bildschirm, die möglicherweise kürzlich installiert wurden.
  • Achten Sie auf eine schnellere Entleerung des Akkus als gewöhnlich oder auf andere seltsame Verhaltensweisen.
  • Behalten Sie die Rechnungen und die Datennutzung pro Monat im Auge. Alles, was übermäßig hoch ist, könnte auf bösartige Aktivitäten hinweisen.
  • Verstehen Sie, dass, wenn Ihr Gerät langsamer als gewöhnlich arbeitet, dies auf Malware zurückzuführen sein kann.

Smartphones und Tablets sind unser Tor zur digitalen Welt. Aber diese Welt müssen wir vor ungebetenen Gästen schützen. Mit diesen einfachen Schritten haben Sie bessere Chancen, Ihre Finanzen und Ihre persönlichen Daten zu schützen.