Eset warnt vor falschen Signal- und Telegram-Apps im Play Store

Der Eset-Forscher Lukas Stefanko hat im Google Play Store sowie im Samsung Galaxy Store manipulierte Versionen der Messenger-Apps Signal und Telegram entdeckt. Sie enthalten den Trojaner BadBazaar, der über zahlreiche Funktionen verfügt, um Nutzer auszuspionieren und vertrauliche Daten zu stehlen.

Hinter den schädlichen Apps soll eine chinesische Hackergruppe namens Gref stecken. Sie soll zuvor den Trojaner BadBazaar gegen ethnische Minderheiten in China eingesetzt haben. Die neue Kampagne richtet sich Eset zufolge jedoch gegen Nutzer in Deutschland, Polen, den Niederlanden, der Ukraine, Spanien, Portugal, Hongkong und den USA.

BadBazaar steckt in Signal Plus und FlyGram

BadBazaar ist unter anderem in der Lage, den genauen Standort eines Smartphones zu ermitteln und Anruflisten und SMS auszulesen und zu stehlen. Darüber hinaus kann der Trojaner Telefonate aufzeichnen, mit einer im Gerät integrierten Kamera Fotos aufnehmen sowie Kontakte, Dateien und Datenbanken stehlen.

In den beiden App-Marktplätzen werden die falschen Messenger-Apps unter den Namen Signal Plus Messenger und FlyGram angeboten. Bei beiden Apps handelt es sich um manipulierte Versionen von Signal und Telegram, basierend auf ihrem als Open Source verfügbaren Quellcode. Um beide Apps legitim erscheinen zu lassen, haben die Hintermänner sogar Website unter den Domains signalplus.[org] und flygram.[org] eingerichtet.

Eset warnt vor allem vor einer Backup-Funktion von Flygram, mit der Opfer ihre Daten direkt an einen von der Gref-Gruppe kontrollierten Server schicken. Während die Gesamtzahl der Opfer dieser Kampagne unbekannt ist, fand Eset heraus, dass mindestens 13.953 Flygram-Nutzer die Backup-Funktion aktiviert haben.

Der Signal-Klon soll indes vorrangig Signal-Daten von Nutzern sammeln. Außerdem sind die Hintermänner in der Lage, das Signal-Konto eines Opfers mit einem von ihnen kontrollierten Gerät zu verknüpfen. So erhalten die Angreifer auch künftig Zugriff auf Nachrichten ihrer Opfer. Dies geschieht laut Eset ohne Wissen der Nutzer, da es den Hackern gelungen ist, das offizielle Registrierungsverfahren für diese Funktion zu umgehen.

Eset weist darauf hin, dass beide Apps bereits aus dem Google Play Store entfernt wurden. Auch im Samsung Galaxy Store sind sie, zumindest in Deutschland, nicht mehr abrufbar.