Warnung vor einer Kampagne zur Umwandlung von Android-Handys in Spionagegeräte

Hacker nutzen einen bekannten, aber äußerst effektiven Trick: Sie erstellen gefälschte Versionen der beliebtesten Apps wie WhatsApp, TikTok, Google Fotos und YouTube, um die Nutzer zur Installation zu verleiten.

Die Kampagne nutzt eine Kombination aus Telegram-Kanälen und Phishing-Websites, um die Schadsoftware zu verbreiten.

Laut einem Bericht des Cybersicherheitsunternehmens Zimperium war die Angriffskette von ClayRat sehr gut orchestriert.

Zunächst werden die Nutzer auf gefälschte Webseiten gelockt, die versprechen, „Plus“-Versionen der App mit Premium-Funktionen wie YouTube Plus anzubieten.

Von diesen Seiten werden die Opfer auf von Angreifern kontrollierte Telegram-Kanäle weitergeleitet, wo diese Tricks anwenden, wie etwa das künstliche Aufblähen der Downloadzahlen und das Verbreiten gefälschter Erfahrungsberichte, um die App vertrauenswürdig erscheinen zu lassen.

Das Opfer wird dann dazu verleitet, eine APK-Datei herunterzuladen und zu installieren, die die ClayRat-Malware enthält.

„Sobald diese Spyware erfolgreich infiltriert ist, kann sie SMS-Nachrichten, Anruflisten, Benachrichtigungen und Geräteinformationen stehlen, heimlich Fotos mit der Frontkamera aufnehmen und sogar automatisch Nachrichten senden oder Anrufe vom Gerät des Opfers aus tätigen“, sagte der Cybersicherheitsexperte Vishnu Pratapagiri von der Firma Zimperium.

Das Schlimmste an ClayRat ist nicht nur der Datendiebstahl. Die Schadsoftware ist so konzipiert, dass sie sich selbst repliziert und automatisch schädliche Links an alle Kontakte des Opfers versendet. Dadurch wird das infizierte Telefon zu einem Knotenpunkt für die Verbreitung des Virus, sodass Angreifer ohne manuelles Eingreifen ihre Ausbreitung beschleunigen können.

In den vergangenen 90 Tagen hat Zimperium nicht weniger als 600 Malware-Proben und 50 „Köder“-Apps entdeckt. Dies zeigt, dass sich die Angreifer ständig verbessern und neue Tarnungsebenen hinzufügen, um Sicherheitssoftware zu umgehen.

Hindernisse überwinden

Für Geräte mit Android 13 und höher, die über erhöhte Sicherheitsvorkehrungen verfügen, verwendet ClayRat einen ausgefeilteren Trick. Die gefälschte App erscheint zunächst als einfaches Installationsprogramm.

Beim Start wird ein gefälschter Play Store-Update-Bildschirm angezeigt, während im Hintergrund die eigentliche verschlüsselte Malware heruntergeladen und installiert wird.

Nach der Installation fordert ClayRat den Benutzer auf, die Berechtigung zu erteilen, als Standard-SMS-App festgelegt zu werden, damit es uneingeschränkt auf Nachrichten und Anruflisten zugreifen und diese kontrollieren kann.

Das Auftreten von ClayRat ist Teil eines besorgniserregenden Trends im Bereich der Sicherheit im gesamten Android-Ökosystem.

Eine kürzlich durchgeführte Studie der Universität Luxemburg zeigte außerdem, dass auf vielen billigen Android-Smartphones, die in Afrika verkauft werden, vorinstallierte Anwendungen vorhanden sind, die mit hohen Berechtigungen arbeiten und im Stillen Identifikations- und Standortdaten der Nutzer an Dritte senden.

Google teilte mit, dass Android-Nutzer durch Google Play Protect, eine Funktion, die auf Geräten mit Google Play-Diensten standardmäßig aktiviert ist, automatisch vor bekannten Versionen dieser Malware geschützt werden.

Die Bedrohung durch neue Varianten und inoffizielle Installationsquellen stellt jedoch weiterhin eine Warnung für alle Benutzer dar.

Quelle: https://dantri.com.vn/cong-nghe/canh-bao-chien-dich-bien-dien-thoai-android-thanh-cong-cu-gian-diep-20251013135854141.htm