Categories: MobileMobile OS

WolfRAT: Android-Malware greift Apps von WhatsApp und Facebook Messenger an

Forscher von Cisco Talos haben einen neuen Remote-Access-Trojaner für Android namens WolfRAT entdeckt. Es handelt sich offenbar um eine Variante von DenDroid, dessen Quellcode 2015 durchgesickert war. Derzeit nimmt WolfRAT Nutzer von Messaging-Anwendungen wie WhatsApp, Facebook Messenger und Line ins Visier – vor allem in Thailand.

Verbreitet wird WolfRAT als angebliches Update für Adobe Flash oder Google Play. Fällt ein Nutzer auf die Täuschung herein, wird der Trojaner auf seinem Android-Gerät installiert. Anschließend sammelt WolfRAT diverse Gerätedaten. Die Malware kann aber auch Fotos und Videos aufnehmen, SMS-Nachrichten auslesen, Audio aufzeichnen und Daten an einen Befehlsserver im Internet übertragen.

Wird jedoch eine Messenger-App wie WhatsApp benutzt, startet die Malware eine Screenshot-Funktion und zeichnet alle 50 Sekunden den Bildschirminhalt auf. Der Screenrecorder wird beendet, sobald WhatsApp wieder geschlossen wird.

Die Talos-Forscher Warren Mercer, Paul Rascagneres und Vitor Ventura vermuten hinter WolfRAT den Spyware-Händler Wolf Research. Laut VirusTotal verkauft die Organisation Überwachungstechnologien an Regierungen. Seine Lösungen sollen in der Lage sein, Windows, iOS und Android mit Schadsoftware zu infizieren. 2018 setzte die Gruppe auf gefälschte Benachrichtigungen zu Chrome Updates.

Auf die Spur von Wolf Research kamen die Forscher über den Befehlsserver von WolfRAT. Offiziell sei Wolf Research seit einiger Zeit geschlossen. Ehemalige Mitglieder seien aber wahrscheinlich noch aktiv. Zudem fanden die Forscher Bezüge zu einem in Zypern ansässigen Anbieter von Überwachungstechnik namens Coralco Tech.

Der Schadsoftware an sich bescheinigten die Forscher keine gute Qualität. Es gebe Überscheidungen im Code, ungenutzten Code und nicht genutzte Funktionen, Fehler bei der Verwaltung von Instanz-Klassen und instabile Pakete. Zudem hätten es sich die Hintermänner sehr einfach gemacht und vorhandene Opern-Source-Software zum Teil per Drag and Drop eingefügt.

„Wolf Research behauptete, ihren Betrieb eingestellt zu haben, aber wir sehen deutlich, dass ihre bisherige Arbeit unter einem Deckmantel weitergeführt wird“, kommentierten die Forscher. „Die Fähigkeit, diese Art von nachrichtendienstlichen Aktivitäten mit Hilfe von Telefonen durchzuführen, stellt für den Betreiber einen enormen Gewinn dar. Die Chat-Details, WhatsApp-Aufzeichnungen, Messenger und SMS enthalten einige sensible Informationen, und die Menschen scheinen diese zu vergessen, wenn die Kommunikation auf ihrem Telefon stattfindet.“

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google-Forscher entdeckt schwerwiegende Sicherheitslücke in Mozillas NSS-Bibliothek

Ein Angreifer kann Speicherbereiche mit eigenem Code überschreiben. Der Mozilla-Browser Firefox ist aber nicht betroffen.

3 Tagen ago

Forscher warnen vor unsicheren Cloud-Computing-Diensten

Sie richten 320 Honeypots mit unsicher konfigurieren Diensten sowie schwachen Zugangskennwörtern ein. Bereits nach 24…

3 Tagen ago

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

3 Tagen ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

3 Tagen ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

3 Tagen ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

3 Tagen ago