Gefälschte Messenger-Apps: Hacker griffen gezielt Menschen in Südasien an

Masche dieser Hacker-Gruppe: Gefälschte Messenger-Apps, die funktionieren, aber Schadcode enthalten und sensible Daten stehlen

[datensicherheit.de, 11.04.2024] ESET-Forscher haben nach eigenen Angaben eine Cyber-Spionagekampagne entdeckt, welche demnach „Android“-Nutzer in Südasien – vor allem in Indien und Pakistan – ins Visier nahm. Die Masche dieser Hacker-Gruppe laut ESET: „Gefälschte Messenger-Apps, die zwar funktionieren, gleichzeitig aber Schadcode enthalten und sensible Daten stehlen.“ Mit dieser Attacke habe die bis dato unbekannte und von ESET „Virtual Invaders“ genannte Hacker-Gruppe gezielt „Android“-Nutzer in der Region ausspioniert. „Virtual Invaders“ sei von November 2021 bis Ende 2023 aktiv gewesen und habe die Fake-Apps über spezielle Webseiten und auf „Google Play“ verbreitet. „Es kommt immer wieder vor, dass Cyber-Kriminelle funktionierende Apps programmieren und veröffentlichen, um an Daten von Nutzern zu gelangen“, erläutert ESET-Forscher Lukas Stefanko, der Entdecker dieser Hacker-Kampagne. Seine Empfehlung: „Nutzer sollten sich bei ihren Messenger-Apps auf die gängigen Anbieter verlassen und vor allem davon absehen, Anwendungen aus unseriösen Quellen herunterzuladen.“

Hacker verbreiteten zahlreiche Fake-Apps mit weitreichenden Rechten

Die Apps seien äußerlich nicht von legitimen Messengern zu unterscheiden gewesen. „Schaute man allerdings unter die Haube, ergab sich ein anderes Bild: Alle Apps enthielten den Open-Source-Schadcode ,Android XploitSPY RAT’. Dieser beliebte Code ermöglicht Hackern, Kontaktlisten und Dateien zu extrahieren, den GPS-Standort des Geräts auszulesen und die Namen bestimmter Ordner herauszufinden.“

Hierzu hätten Verzeichnisse wie der Kamera- und Downloads-Ordner sowie anderen Messaging-Apps, z.B. „Telegram“ und „WhatsApp“ gehört. „Hatten die Hacker eine interessant klingende Datei gefunden, reichte ein Befehl vom Command-and-Control-Server (C&C), um sie zu extrahieren.“

Darüber hinaus hätten die Fake-Apps betroffene Smartphones in regelrechte Wanzen verwandelt: Auf Befehl der Hacker hin hätten die Anwendungen auf Kameras und Mikrofone der Geräte zugegriffen, um ihre Umgebung auszuhorchen.

„Interessanterweise ist die Implementierung der in ,XploitSPY’ integrierten Chat-Funktion einzigartig; wir gehen deshalb davon aus, dass diese Chat-Funktion von der ,Virtual Invaders’-Gruppe entwickelt wurde“, berichtet Stefanko.

Hacker konnten Malware vor Sicherheitstools verstecken

Die Malware verwende eine systemeigene Bibliothek, die häufig bei der Entwicklung von „Android“-Apps zur Verbesserung der Leistung und zum Zugriff auf Systemfunktionen eingesetzt werde. In diesem Fall werde die Bibliothek jedoch verwendet, um sensible Informationen zu verbergen, wie z.B. die Adressen der C&C-Server, wodurch es für Sicherheitstools schwieriger werde, die App zu analysieren. Die Hacker-Kampagne habe sich im Laufe der Jahre weiterentwickelt und umfasse nun auch Verschleierung, Emulatorerkennung und das Verstecken von C&C-Adressen.

„Google Play“ habe die betroffenen Apps – „Dink Messenger“, „Sim Info“ und „Defcom“ – nach ihrer Entdeckung entfernt. Darüber hinaus habe ESET als Partner der „Google App Defense Alliance“ zehn weitere Apps identifiziert, welche auf Code von „XploitSPY“ basierten und Google darüber informiert, woraufhin diese ebenso entfernt worden seien.

„Alle schadhaften Apps wiesen nur eine geringe Anzahl von Installationen auf. Dies deutet eher auf einen gezielten Ansatz als eine breit angelegte Strategie hin.“ Insgesamt hätten rund 380 Nutzer die Apps von Websites und aus dem „Google Play Store“ heruntergeladen und Konten erstellt, um die Nachrichtenfunktionen zu nutzen. Aufgrund des gezielten Charakters der Hacker-Kampagne sei die Anzahl der Installationen der einzelnen Apps von „Google Play“ relativ gering: Sie liege zwischen null und 45.

Weitere Informationen zum Thema:

welivesecurity by eseT, Lukas Stefanko, 10.04.2024
ESET Research / eXotic Visit campaign: Tracing the footprints of Virtual Invaders