Bei einer aktuellen Malware-Kampagne senden die Täter WhatsApp-Nachrichten mit Schadsoftware. Wer die als Hochzeitseinladung ausgegebene Software ausführt, gibt den Angreifern unter anderem Zugriff auf sensible Informationen und weitere Funktionen des Smartphones.
Anzeige
Die Täter geben WhatsApp-Nachrichten mit Malware-Installer als Hochzeitseinladungen aus.
(Bild: Kaspersky)
In einem Blog-Beitrag analysieren Kasperskys Malware-Forscher die Schadsoftware-Kampagne. Die Kampagne richtet sich gegen Nutzerinnen und Nutzer im Sultanat Brunei und in Malaysia, der Erfolg der Masche könnte aber auch als Anreiz für derartige Attacken in weiteren Regionen der Welt einschließlich Deutschland, Österreich und der Schweiz dienen. Thematisch sollen Nutzerinnen und Nutzer auch bei anderen Aufhängern wachsam bleiben, die Cyberkriminellen könnten auch auf Geburtstage, andere religiöse Ereignisse und ähnliche Anlässe setzen.
Als Aufhänger dient den Angreifern eine angebliche Einladung zu einer Hochzeit, wobei sie sich für die Einladung zu solch einem Ereignis über WhatsApp entschuldigen. Zeit und Ort der Feier finde sich in der angehängten Datei – eine .apk-Datei, also einem Installer für Android. Darin findet sich jedoch eine Malware, derzeit handelt es sich um Infostealer.
Zwei Varianten haben Kasperskys Malware-Analysten dabei entdeckt. Sie haben die Malware-Familie "Tria" genannt. Sie durchforstet Text- und E-Mail-Nachrichten, liest Anruflisten und Nachrichtenprotokolle und sendet sie an Command-and-Control-Server über mehrere Telegram-Bots. Mit den erbeuteten Daten knacken die Täter die Telegram- und WhatsApp-Zugriffsdaten sowie weitere Konten – in sozialen Netzen häuften sich demnach Beschwerden Betroffener, deren WhatsApp-Konten übernommen wurden oder die verdächtige .apk-Dateien über WhatsApp oder andere Messenger-Apps zugeschickt bekommen haben.
Anschließend senden die bösartigen Akteure den Kontakten der Opfer Nachrichten und bitten um Geld. Denkbar ist jedoch auch, dass die Angreifer direkt auf die Online-Konten der Opfer zugreifen können, da sie OTP-Codes als 2FA-Schutzmaßnahme abgreifen können. Die Malware verstecken die Täter hinter einem Zahnrad-Icon, wodurch sie ein Systemprogramm imitiert, für das weitreichende Berechtigungen nötig sind.
Kaspersky rät, Fremden in Messenger-Apps nicht zu antworten, .apk-Dateien aus nicht vertrauenswürdigen Quellen nicht zu öffnen, Apps nicht mehr Berechtigungen zu gewähren, als diese tatsächlich benötigen sowie die Zugänge zu Messenger-Apps und sozialen Netzwerken zu härten, etwa durch passende Privacy-Einstellungen. Auf Zwei-Faktor-Authentifizierung (2FA) mittels Textnachrichten zu setzen, ist Kaspersky zufolge hier nicht zielführend, da die Angreifer Zugriff aufs Handy und somit OTP-Nachrichten haben. MFA mittels Authenticator sei jedoch wahrscheinlich hilfreich.
(
Kommentare