WhatsApp: Spyware-App für Android liest Nachrichten aus

„Android.Trojan-Spy.Buhsam.A“ kann sogar Smartphonekamera übernehmen

[datensicherheit.de, 20.09.2018] G DATA meldet, dass eine vermutlich noch in der Entwicklung befindliche Spyware für „Android“-Smartphones zahlreiche private Informationen von einem Smartphone kopieren und „Whatsapp“-Chats auslesen kann. G DATA hat nach eigenen Angaben diese Malware analysiert.

Meldung „Service Started“ auf dem Bildschirm

Smartphone-Nutzer des „Android“-Betriebssystem sollten jetzt vorsichtig sein, denn eine neue Malware für mobile Telefone sei im Umlauf und lese die Nachrichten und Kontakte der betroffenen Nutzer aus. Die Schadsoftware „Android.Trojan-Spy.Buhsam.A“ könne darüber hinaus die Kamera übernehmen.
Nach Ansicht der Sicherheitsforscher bei G DATA ist diese Malware derzeit entweder noch in der Entwicklungsphase oder schlecht programmiert: Denn nachdem die entsprechenden Dienste gestartet werden, erhielten Nutzer eine Benachrichtigung mit dem Inhalt „Service Started“. Kriminelle versuchten normalerweise, so versteckt wie möglich zu agieren, um ihre Spuren zu verwischen.
Immer wieder gelange noch in Entwicklung befindliche Malware versehentlich in den Umlauf, etwa weil die Autoren auf Webseiten wie „Virustotal“ überprüften, ob ihre Schadsoftware von Virenscannern erkannt wird.

Malware mit einigen besonderen Funktionen

Diese Schadsoftware baue die Verbindung mit dem Command-and-Control-Server nicht über eine normale HTTP-Verbindung auf, sondern nutze stattdessen die sogenannten Websockets. Verbindungen über Websockets könnten ohne Probleme über eine längere Zeit aufrechterhalten werden, anders als klassische HTTP-Verbindungen. Für die Autoren der Malware sinke damit der Aufwand bei der Kommunikation mit dem Smartphone des Opfers. Außerdem entfalle die Übermittlung sogenannter Header-Dateien – deswegen werde bei jeder Verbindung mit dem Server weniger Datenvolumen verbraucht. Das könne einer Malware bei der Tarnung helfen, weil Nutzer keinen verdächtig hohen Verbrauch an Daten hätten.
Die Malware könne zudem zahlreiche verschiedene Module laden – je nachdem, welche Informationen auf einem Smartphone vorhanden sind. So könne die gesamte „Whatsapp“-Datenbank ausgelesen werden. Diese werde dann an den Server der Angreifer gesendet und mit einer eindeutigen Nutzerkennzeichnung versehen.
Der Command&Control-Server könne außerdem die Inhalte der Browser-Historie anfordern. Dazu werde eine Anfrage nach einem JSON-Objekt an das Smartphone gesendet. Derzeit würden dabei aber nur die gespeicherten Lesezeichen der Nutzer übertragen und nicht die komplette Historie. Das deutet laut G DATA ebenfalls daraufhin, dass sich die Malware noch in der Entwicklung befindet. Ebenso könnten die Kontakte des Nutzers an den Server der Angreifer übertragen werden.

Weitere Informationen zum Thema:

G DATA, September 2018
Whitepaper 2018 – paper 05 G DATA Software AG | Analysis of Android.Trojan-Spy.Buhsam.A