WhatsApp- und Telegram-Klone stehlen Bitcoins & Co

Die Forscher des IT-Sicherheitsherstellers ESET entdeckten gefährliche Kopien der beliebten Messenger Apps WhatsApp und Telegram. Alle haben es auf die Kryptowährungen und Wallets ihrer Opfer abgesehen. Die Verbreitung der trojanisierten App-Versionen erfolgt über Dutzende von nachgeahmten Telegram- und WhatsApp-Websites, die insbesondere auf Android- und Windows-Nutzer abzielen. Bei den meisten der identifizierten bösartigen Apps handelt es sich um sogenannte Clipper: eine Art von Malware, die den Inhalt der Zwischenablage stiehlt oder verändert. Darüber hinaus verwenden einige dieser Anwendungen die optische Zeichenerkennung (OCR), um Text aus Screenshots zu erkennen, die auf den kompromittierten Geräten gespeichert sind.

Betrügerische YouTube-Kanäle

Die Angreifer platzierten zunächst Google-Anzeigen, die zu betrügerischen YouTube-Kanälen führten. Diese wiederum leiteten dann die Betrachter auf gefälschte Telegram- und WhatsApp-Webseiten um. ESET Research meldete die betrügerischen Anzeigen und die damit verknüpften YouTube-Kanäle umgehend an Google, das alle umgehend abschaltete. Es ist jedoch davon auszugehen, dass neue Werbung geschaltet wird oder bereits wurde.

„Das Hauptziel der Clipper besteht darin, die Messaging-Kommunikation des Opfers abzufangen. Alle gesendeten und empfangenen Kryptowährungs-Wallet-Adressen wurden durch Adressen ersetzt, die den Angreifern gehören. Zusätzlich zu den trojanisierten WhatsApp- und Telegram-Apps für Android haben wir auch Windows-Versionen derselben Apps gefunden“, sagt ESET-Forscher Lukas Stefanko.

Obwohl sie den gleichen Zweck erfüllen, enthalten die trojanisierten Versionen dieser Apps verschiedene zusätzliche Funktionen. Erstmals nutzen die analysierten Android-Clipper OCR (optical character recognition), um Text aus Screenshots und gespeicherten Fotos auf dem Gerät des Opfers zu extrahieren: zum Beispiel, um den Zugangsschlüssel für das Wallet (Seed-Phrase) herauszufinden. Sie besteht aus einer beliebigen Kombination von 12 oder 24 Wörtern und sichert die gespeicherten Coins gegen den Zugriff Dritter. Sobald die böswilligen Akteure in den Besitz einer Seed-Phrase gelangen, können sie alle Kryptowährungen direkt aus der zugehörigen Geldbörse stehlen.

In einem anderen Fall tauschte die Malware während der Chat-Kommunikation einfach die Adresse der Kryptowährungs-Geldbörse des Opfers gegen die Adresse des Angreifers aus. Dabei wurden die Adressen entweder fest codiert oder dynamisch vom Server des Angreifers abgerufen. In einem anderen Fall überwachte die Malware die Telegram-Kommunikation auf bestimmte Schlüsselwörter im Zusammenhang mit Kryptowährungen. Sobald ein solches Schlüsselwort erkannt wird, sendet die Malware die gesamte Nachricht an den Server des Angreifers.

Auch Windows-Apps sind betroffen

ESET Research fand auch Windows-Versionen der Wallet-Switching-Clipper sowie Telegram- und WhatsApp-Installationsprogramme für Windows, die mit Remote Access Trojanern (RATs) gebündelt waren. Abweichend vom üblichen Muster besteht eines der Windows-bezogenen Malware-Bündel nicht aus Clippern, sondern aus RATs, die eine vollständige Kontrolle über das System des Opfers ermöglichen. Auf diese Weise sind die RATs in der Lage, Geldbörsen für Kryptowährungen zu stehlen, ohne den Anwendungsfluss abzufangen.

„Installieren Sie Apps nur aus vertrauenswürdigen und zuverlässigen Quellen wie dem Google Play Store und speichern Sie keine unverschlüsselten Bilder oder Screenshots mit sensiblen Informationen auf Ihrem Gerät. Wenn Sie glauben, dass Sie eine trojanisierte Version von Telegram oder WhatsApp haben, entfernen Sie diese manuell von Ihrem Gerät und laden Sie die App entweder von Google Play oder direkt von der legitimen Website herunter“, rät Stefanko. „Wenn Sie vermuten, dass Ihre Telegram-App für Windows bösartig ist, sollten Sie eine Sicherheitslösung verwenden, die die Bedrohung erkennt und sie für Sie entfernt. Die einzige offizielle Version von WhatsApp für Windows ist derzeit im Microsoft Store erhältlich.“

Ausgehend von der Sprache, die in den gefälschten Apps verwendet wird, scheint es, dass die dahinter stehenden Betreiber hauptsächlich chinesischsprachige Nutzer ansprechen. Es kann aber nicht ausgeschlossen werden, dass die Angreifer auch in Europa aktiv sind. Einige der gefälschten Whatsapp- und Telegram-Seiten waren in englischer Sprache.

Roger Homrich

Recent Posts

Podcast: Geschäftsprozesse mit generativer KI automatisieren

Wie sich unstrukturierte Daten unter anderem für die Automatisierung von Rechnungsprozessen nutzen lassen, erklärt Ruud…

1 Tag ago

Kehrtwende: Microsoft verschiebt Windows Copilot Recall

Geplante Markteinführung mit den Copilot+ PCs ist vorerst vom Tisch. Stattdessen startet in den kommenden…

2 Tagen ago

Copilot Pro: Microsoft streicht GPT Builder – nach nur drei Monaten

Die Änderung gilt zumindest für die Consumer-Version von Copilot. Die Zukunft des GPT Builder für…

2 Tagen ago

QR-Code-Phishing 3.0: Verseuchte Codes mit ASCII-Zeichen

Per HTML und ASCII nachgebaute QR-Codes umgehen die Sicherheitsmaßnahmen optischer Texterkennung.

2 Tagen ago

Malware-Ranking: Androxgh0st-Botnet breitet sich in Deutschland aus

Die seit April aktive Malware schafft es im Mai bereits auf Platz 2. Lockbit erholt…

3 Tagen ago

Monatlicher Patchday: Microsoft stopft im Juni 49 Sicherheitslöcher

Eine kritische Schwachstelle steckt in allen unterstützten Versionen von Windows und Windows Server. Sie erlaubt…

3 Tagen ago