Chinesische Hacker Telegram und Signal: Gefälschte Apps spionieren deutsche Nutzer aus
Mit dreisten Kopien bekannter Messenger sollen chinesische Hacker private Chats abgegriffen haben. Die Anwendungen sind weiterhin verfügbar.
Eine chinesische Hackergruppe greift die Daten von Nutzern ab, die täuschend echt aussehende Kopien bekannter Messenger-Dienste verwenden. Das haben die Experten vom Sicherheitsunternehmen Eset herausgefunden.
Bei den Apps handle es sich um die Programme "Signal Plus Messenger" und "FlyGram", heißt es. Die Anwendungen seien dreiste Kopien der bekannten Chat-Dienste Signal und Telegram. Sie dienten allerdings nur einem Zweck: dem Abgreifen von Nutzerinhalten wie privaten Nachrichten, Kontaktdaten und Anrufprotokolle.
Durch die Nutzung der Apps würde auf den Smartphones der Nutzer eine Spionage-Software installiert, "die früher bereits zur Unterdrückung von Uiguren und anderen Minderheiten in China zum Einsatz kam", berichtet Eset.
Im Samsung Galaxy Store weiterhin verfügbar
Die beiden als legitime Apps getarnten Wanzen seien lange Zeit über die offiziellen App-Stores Google Play und Samsung Galaxy Store erhältlich gewesen. Bei Samsung seien beide Anwendungen sogar weiterhin verfügbar.
Besonders perfide: Die Spionage-Apps wiesen die gleichen Funktionen auf wie die Original-Apps. Nutzer könnten ganz normal Nachrichten schreiben und Bilder verschicken, ohne Verdacht zu schöpfen.
Wie geht das? Ganz einfach. Weil es sich bei den beliebten Apps Signal und Telegram um quelloffene Anwendungen handelt, kann theoretisch jeder ihren Quellcode einsehen und verändern.
Das machten sich die chinesischen Hacker zunutze und erweiterten die Programme um ihren eigenen schadhaften Code. Anschließend veröffentlichten sie die Apps in den App-Stores von Google und Samsung.
App verbindet sich automatisch mit chinesischen Servern
Beim Start verhalten sich die App ganz normal. Allerdings laufen im Hintergrund Prozesse ab, von denen der Nutzer nichts mitbekommt. Beim Start der Anwendung "Signal Plus Messenger" zum Beispiel verbinde sich die Malware mit den Servern der Hacker, berichtet Eset. "FlyGram" greife auf Telegram-Back-ups zu.
Wer ist betroffen? Laut Eset seien Tausende Nutzer weltweit betroffen, besonders Android-Geräte in Europa – "allen voran Deutschland und Polen". Auch in Australien, Südamerika, Afrika sowie Nord- und Südamerika sei die Malware aktiv.
Eset rät: "Nutzer sollten bei der Installation von Messengerdiensten und anderen Apps immer auf den Entwickler beziehungsweise das Unternehmen hinter dem Dienst achten." Im Zweifelsfall solle die Wahl immer auf den offiziellen Hersteller fallen.
- Eset-Mitteilung