Nutzer nutzen häufig Mods von Drittanbietern, um beliebte Messaging-Apps um zusätzliche Funktionen zu erweitern. Diese Mods bieten zwar erweiterte Funktionen, bergen aber auch potenzielle Schadsoftware. Kaspersky hat ein neues WhatsApp-Mod entdeckt, das nicht nur Funktionen wie die Nachrichtenplanung und Anpassungsmöglichkeiten bietet, sondern auch ein schädliches Spyware-Modul enthält.

Nach dem modifizierten WhatsApp-Client-Manifest tauchten verdächtige Komponenten (Dienste und Broadcast-Empfänger) auf, die in der Originalversion nicht vorhanden waren. Sobald das Telefon eingeschaltet und im Lademodus war, startete der Empfänger den Dienst und aktivierte das Spionagemodul. Daraufhin schickte das bösartige Implantat eine Anfrage mit Geräteinformationen an den Server des Angreifers. Diese Daten umfassten die International Mobile Equipment Identity (IMEI), Telefonnummer, Ländervorwahl und Netzwerkcode. Darüber hinaus übermittelten sie alle fünf Minuten die Kontakt- und Kontodaten des Opfers und konnten Mikrofonaufnahmen einrichten und Dateien aus externen Speichern extrahieren.

Die bösartige Version fand ihren Weg über beliebte Telegram-Kanäle, von denen einige bis zu zwei Millionen Abonnenten hatten. Kaspersky-Forscher machten Telegram auf das Problem aufmerksam. Allein im Oktober registrierten die Telemetriesysteme von Kaspersky mehr als 340.000 Angriffe mit dem Mod. Die Bedrohung trat erst kürzlich auf und begann Mitte August 2023 aktiv zu werden.

Aserbaidschan, Saudi-Arabien, Jemen, die Türkei und Ägypten verzeichneten die höchsten Angriffsraten. Obwohl der Angriffstrend vor allem arabisch- und aserbaidschanischsprachige Nutzer betraf, waren auch Nutzer aus den USA, Russland, Großbritannien, Deutschland usw. betroffen.

„Viele Menschen vertrauen Anwendungen aus bekannten Quellen, doch Betrüger nutzen dieses Vertrauen aus“, so Dmitry Kalinin, Sicherheitsexperte bei Kaspersky. „Die Verbreitung bösartiger Mods über beliebte Drittanbieterplattformen unterstreicht die Bedeutung offizieller Instant-Messaging-Clients. Wenn Sie jedoch zusätzliche Funktionen benötigen, die im Original-Client nicht verfügbar sind, sollten Sie vor der Installation von Drittanbietersoftware die Verwendung einer seriösen Sicherheitslösung in Betracht ziehen, da diese Ihre Daten vor Missbrauch schützt. Um Ihre persönlichen Daten zu schützen, laden Sie Anwendungen immer aus offiziellen App-Stores oder von offiziellen Websites herunter.“