ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Apps

Google und Samsung Store: BadBazaar tarnte sich als Telegram- und Signal-Client

Michael Schäfer
35 Kommentare
Google und Samsung Store: BadBazaar tarnte sich als Telegram- und Signal-Client
Bild: Mohamed_hassan | gemeinfrei

Sicherheitsexperten haben in zwei alternativen Clients für Telegram und Signal die Malware BadBazaar gefunden, die den Erkenntnissen nach von der chinesischen Hackergruppe Gref in Umlauf gebracht worden sein soll. Die Clients waren unter anderem sowohl in Googles Play Store sowie im Samsung Galaxy Store zu finden.

Die Hackergruppe soll nach Angaben der Sicherheitsexperten von Eset den von ihr bereits in der Vergangenheit verwendeten Trojaner über den angeblich alternativen Telegram-Client „Flygram“ verbreitet haben, der „Signal Plus Messenger“ stellt wiederum das Pendant für Signal dar. Die Clients wurden nicht nur über die beiden genannten Bezugsquellen, sondern dem Bericht nach auch über alternative Stores sowie eigens dafür eingerichtete und mit entsprechender Domain ausgestattete Websites verteilt. Beide Apps wurden mittlerweile aus dem Play Store sowie aus dem Galaxy Store von Samsung entfernt.

Tiefgehende Eingriffe

Mit dem Trojaner war es den Angreifern möglich, neben grundlegenden Geräteinformationen auch sensible Daten wie Kontaktlisten, Anrufprotokolle, SMS-Nachrichten und die Liste der Google-Konten auszulesen. Auch das Aufzeichnen von Telefongesprächen war möglich, ebenso das unbemerkte Aufnehmen von Bildern und Videos über die eingebaute Kamera. Darüber hinaus soll die App in der Lage gewesen sein, Informationen und Einstellungen auszuspähen, die in direktem Zusammenhang mit Telegram stehen, wobei diese Informationen jedoch nicht die Telegram-Kontaktliste, Nachrichten oder andere sensible Informationen betreffen sollen. Aktiviert der Nutzer jedoch bestimmte Funktionen von FlyGram, können Telegram-Daten auf einem von den Angreifern kontrollierten Remote-Server gesichert und auch wiederhergestellt werden. Damit besitzen die Akteure auch Zugriff auf die Telegram-Backups, die aber keine Nachrichten enthalten sollen. Darüber hinaus wurde den Sicherheitsexperten zufolge jedem neu erstellten Benutzerkonto eine eindeutige ID zugewiesen. Das so erzeugte Muster lässt darauf schließen, dass mindestens 13.953 FlyGram-Konten diese Funktion aktiviert hatten.

Unbemerkte Verknüpfung bei Signal

Ähnlich ging die Gruppe beim „Signal Plus Messenger“ vor, der vergleichbare Gerätedaten und sensible Informationen sammelte. Zusätzlich war es diesem möglich, die Signal-Kommunikation des Opfers auszuspionieren. Dadurch konnte unter anderem die PIN extrahiert werden, die das Signal-Konto schützt. Diese Funktion soll unter anderem zur Geräteverknüpfung missbraucht worden sein, mit der Nutzer den Messenger auf dem Desktop und dem iPad mit ihrem Smartphone verknüpfen können. Dadurch konnte sich der Angreifer unbemerkt über sein Signal-Device mit den kompromittierten Geräten verbinden. Normalerweise kann diese Funktion nur über einen QR-Code ausgelöst werden, der Schädling war aber in der Lage, den Verknüpfungsprozess zu umgehen und automatisch seine eigenen Geräte mit den Signal-Konten der Opfer ohne deren Wissen zu verknüpfen. Dieser Ansatz stellt laut den Experten den größten Unterschied zu anderer bisher bekannten Malware dar.

Ethnische Minderheiten in vielen Ländern ausspioniert

Aufgrund der Code-Ähnlichkeiten konnten beide Anwendungen der BadBazaar-Malware-Familie zugeordnet werden, die in der Vergangenheit zur Ausspähung gegen Uiguren und andere türkische ethnische Minderheiten außerhalb Chinas eingesetzt wurde. Telemetriedaten deuten jedoch darauf hin, dass die Malware auch auf Geräten in anderen Ländern aktiv war, darunter Australien, Brasilien, Dänemark, die Demokratische Republik Kongo, Deutschland, Hongkong, Jemen, Ungarn, Litauen, Niederlande, Polen, Portugal, Singapur, Spanien, Ukraine sowie USA. Dabei wurden potenzielle Opfer nicht nur über den offiziellen Google Play Store und den Samsung Galaxy Store infiziert, sondern auch über eine uigurische Telegram-Gruppe, die sich auf den Austausch von Android-Apps konzentriert und mittlerweile mehr als 1.300 Mitglieder zählt.

Die Forscher übermittelten ihre Erkenntnisse an Google, woraufhin die Verantwortlichen die App umgehend aus dem Play Store entfernten. Den Erkenntnissen zufolge wurde die App dort um den 4. Juni 2020 hochgeladen und konnte in der Zeit mehr als 5.000 Installationen vorweisen, bevor sie am 6. Januar 2021 entfernt wurde. Darüber hinaus stellten die Experten in einem Video den Weg der Angreifer auf Signal nach und gaben Nutzern der App nützliche Hinweise zur eigenen Überprüfung, ob ihr Signal-Konto unbemerkt mit einem anderen Gerät verbunden wurde. Auch FlyGram wurde mittlerweile aus beiden Stores entfernt.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz