Android-Nutzer sollten sich vor einer neuen schädlichen Malware in Acht nehmen, die sich derzeit über WhatsApp verbreitet. Dabei sollen potenzielle Opfer dazu verleitet werden, eine App aus einem gefälschten Google Play Store runterzuladen. Der ESET-Malware-Forscher Lukas Stefanko hat sich die Malware genauer angesehen.

"Diese Malware verbreitet sich über das WhatsApp des Opfers und antwortet automatisch auf jede WhatsApp-Nachricht mit einem Link zu einer gefälschten und bösartigen Huawei Mobile-App", sagte Stefanko. Die Malware, die erstmals vom Twitter-Nutzer @ReBensk gemeldet wurde, scheint hauptsächlich darauf abzuzielen betrügerische Werbeeinnahmen für seine Betreiber zu generieren.

Um die schädliche App zu installieren, werden Benutzer dazu aufgefordert, die Installation von Apps zuzulassen, die nicht aus dem offiziellen Google Play Store sind. Auf diese Weise wird eine wichtige und standardmäßig aktivierte Sicherheitsvorkehrung auf Android-Geräten außer Kraft gesetzt.

Nach Abschluss des Installationsprozesses fordert die App eine Reihe von Berechtigungen an, einschließlich des Zugriffs auf Benachrichtigungen, der in Kombination mit der Direktantwortfunktion von Android genutzt wird, um die Wurmfähigkeit zu erreichen.

"Durch die Kombination dieser beiden Funktionen kann die Malware effektiv mit einer benutzerdefinierten Nachricht auf jede empfangene WhatsApp-Benachrichtigungsnachricht reagieren", sagte Stefanko. Die Malware wird dann im Hintergrund ausgeführt, bis sie eine Antwort vom Server abruft, während sie auf eine WhatsApp-Benachrichtigung wartet, die dann zum Verteilen des bösartigen Links an die Kontakte des Opfers genutzt wird.

Die bösartige App fordert auch andere Berechtigungen an, z. B. das Überzeichnen anderer Apps, wodurch sie andere auf dem Gerät ausgeführte Anwendungen überlagern kann. Oder das Ignorieren der Batterieoptimierung, wodurch sie im Hintergrund ausgeführt werden kann und das System daran hindert, sie zu beenden, selbst wenn das Gerät Strom und Ressourcen verbraucht.

"Der Wurm verbreitet sich nur dann über Nachrichten an WhatsApp-Kontakte, wenn die letzte vom Opfer empfangene Nachricht vor mehr als einer Stunde gesendet wurde", erklärte Stefanko. Er fügte hinzu, dass dies seiner Ansicht nach deswegen geschieht, um bei den Kontakten des Opfers seit dem Empfang keinen Verdacht zu erregen Denn einen Link als Antwort auf jede Nachricht zu erhalten, könnte Alarm auslösen.

VERWANDTER ARTIKEL: WhatsApp‑Betrug offeriert „kostenfreies Internet“

Was das Ziel der App beziehungsweise ihrer Hintermänner betrifft, so scheint die App derzeit hauptsächlich für eine Adware- oder Abonnement-Betrugskampagne verwendet zu werden, obwohl sie für schlimmere Zwecke eingesetzt werden könnte. "Diese Malware könnte möglicherweise gefährlichere Bedrohungen verbreiten, da der Nachrichtentext und der Link zur bösartigen App vom Server des Angreifers empfangen werden. Es wäre möglich, dass sie Banking-Trojaner, Ransomware oder Spyware verteilt “, sagte Stefanko.

Um sich zu schützen, sollten Sie vermeiden, auf verdächtige Links zu klicken, nur Apps aus dem offiziellen Google Play Store herunterzuladen und unbedingt eine seriöse Sicherheitslösung für ihre Smartphone einsetzen.