Android-Spyware kann WhatsApp-Nachrichten ausspionieren

Die Sicherheitsexperten von G Data weisen aktuell darauf hin, dass eine Malware unter Android ihr Unwesen treibt, welche eure WhatsApp-Nachrichten auslesen kann. Der Übeltäter nennt sich „Android.Trojan-Spy.Buhsam.A“ und kann zusätzlich auch weitere, sensible Daten von mobilen Endgeräten stibitzen und weiterleiten. So liest der Trojaner die WhatsApp-Historie aus, krallt sich eure Kontakte und übernimmt potentiell sogar die Kamera.

Immerhin befindet sich die Malware laut G Date entweder noch in der Entwicklungsphase oder ist recht schlecht programmiert. Denn wenn die Malware aktiv wird, erscheint am mobilen Endgerät eine Meldung mit dem Hinweis „Service Started“. Das dürfte viele Nutzer stutzig machen. Vielleicht ist die Malware vor der endgültigen Vollendung bereits in Umlauf gelangt. Spannend sei laut G Data, dass die Schadsoftware ihre Verbindung mit dem Command-and-Control-Server nicht über eine normale http-Verbindung aufnehme, sondern über Websockets. Das ermöglicht es, die Verbindung länger aufrecht zu erhalten, was für Kriminelle die Kommunikation mit dem infizierten Smartphone vereinfacht.

Der Weg über Websockets erleichtert auch die Tarnung, da keine Header-Dateien übermittelt werden müssen. Ergo wird weniger Datenvolumen verbraucht und der Anwender wird nicht so schnell stutzig. Wie bereits erwähnt, kann Android.Trojan-Spy.Buhsam.A die gesamte WhatsApp-Datenbank auslesen und mit einer eindeutigen Nutzererkennung weiterleiten. Das öffnet eventuell Erpressungsversuchen Tür und Tor. Außerdem kann der Command-and-Control-Server die Inhalte der Browserhistorie anfordern. Allerdings wird nach einem JSON-Objekt gefragt, so dass zumindest nur manuell gespeicherte Lesezeichen auf die Reise gehen.

Das gesamte Whitepaper zur Malware könnt ihr bei Interesse hier durchlesen. Wie man sieht, wird auch Malware für Android aus Sicht Krimineller natürlich immer interessanter. Bleibt zu hoffen, dass das Ergebnis nicht bei einem unserer Leser irgendwann für unverhoffte Überraschungen sorgt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

18 Kommentare

  1. KassallaOnline says:

    Und wie kommt die Spyware nun auf das eigene Phone? Wäre das nicht erwähnenswert gewesen?

    • Naja, indem ein dämlicher Benutzer das selbst installiert. Deshalb ist diese Pressemitteilung, die ausschließlich dem Zweck dient, das Unternehmen zu erwähnen, komplett irrelevant.

  2. Frank Ingendahl says:

    angeblich kommt der Schädling mit „Die Android-Malware gelangt über ein Imitat der Chat-App Viber auf eure Smartphones.“

    https://www.pcspezialist.de/blog/2018/09/21/android-malware/

    Also sind nur die Betroffen, die Viper benutzen oder nicht aus dem Playstore installieren?

    • KassallaOnline says:

      Ich halte fest:
      Man muß die App Viber installieren wollen (wer will das?)
      Dazu auch noch außerhalb des Google Play Store (warum?)
      Bisschen sehr hypothetisch das ganze.

      • Viber – im Playstore: Empfehlung der Redaktion: 500 Mio+ Downloads.
        F-Droid: Alternative zum Playstore, wird gerne von Open-Source-Anhängern und von „sicherheitsbewussten“ Menschen heruntergeladen (als APK, aus dem Netz)

        Potential ist da…

      • Viber ist im Ost- bzw. Südeuropäischen Ausland (abgesehen von Asien) eher installiert als Whatsapp. Zur Frage wer das will… nun Viber hat durchaus seine Daseinsberechtigung. Warum man so was außerhalb vom Playstore installiert ist, so glaub ich, nur für uns schwer zu verstehen.

  3. @ Esh… Viber ist nicht OpenSource. Viber hat größtenteils Verbreitung bei Asiaten. Vietnamesen, Thailänder usw spreche aus Erfahrung, da ich häufiger mit Asiaten zu tun habe. Die meisten dürften es aber aus den jeweiligen Stores beziehen mangels Wissen und Interesse an Alternativen.

  4. Mich würde Mal interessieren wie viele Smartphone-User wirklich von den Sicherheitslücken der letzten Jahre betroffen waren …. Ich glaube das liegt eher im Promille Bereich

    • So sieht’s aus, sonst hätte es irgendwann mal Artikel gegeben, die auf hunderte befallene Smartphones hingewiesen hätten mit nachgewiesenen Schaden.
      Daher immer wieder amüsant, wie manche behaupten, wie unsicher Android im Vergleich zu… wäre.

    • Weist du Karl O überhaupt irgendetwas etwas außer Apple Bashing? Es gibt kaum Sinnvolle Beträge von dir zu den Themen außer diese ständige Apple, Apple Apple. Apple Nutzer sind ganz normale Menschen und keine Außerirdische Dummköpfe. Vielleicht solltest du dir dass mal auf dein Display schreiben? Ein relativ kindisches Verhalten was auf ein relativ junges Alter schließen lässt.

      Der Betrug kommt schleichend und in Wellen, sobald eure Daten abgefischt wurden geht es irgendwann los. Ich hoffe für euch beide das ihr nie in den Genuss kommt, ich kenne etliche Betroffene. Der schlimmste Fall war ein Kamera Betrug von 1000€, bei meinem Kumpel. Wer kann so einen Schaden locker bezahlen?

      Bei mir selbst wurde versucht mich um einige 100 Euro zu betrügen und ich kam da gerade so raus, mein Geld bekam ich dank sehr hohes Sicherheitsbewustsein wieder zurück. Seit dem nutze ich zu 80% nur noch Apple, für alle Sicherheitsrelevanten Dinge zu 100% Apple.

      Über die ganzen Jahre die ich mich mit Technik beschäftige habe ich schon sehr viel erlebt. Es existiert eine unglaublich hohe kriminelle Energie im Internet. Der Betrug lauert überall. Wie ich in die Mühlen der Betrüger gekommen bin weis ich bis heute nicht, ich gehe von einem abfischen der Daten aus, die von einem Trojaner oder Virus abgefischt wurden. Wer das mal erfahren hat denkt ganz anders über gewisse Dinge und will so viel Sicherheit haben die möglich ist.

      Wie kann man ein System in den Himmel loben und als das Ultimativ tolle propagieren, was gerade mal 2 Jahre und im besten Fall 3 Jahre Updates bekommt? Danach ist es so unsicher wie eine Tür deren Riegel offen steht und man diese nur anstoßen muss um rein zu kommen. Irgendwo habe ich gelesen das jährlich über 800000 neue Malware für Android auftaucht, Prost Mahlzeit!

      Ihr wundert euch das nur wenig darüber veröffentlicht wird? Wenn interessieren Einzelfälle? Man sieht es doch an euch beiden, dass ihr euch darüber lustig macht, wenn ihr nicht betroffen seit. Es finden keine großangelegte Betrugswellen statt, es werden einzelne herausgesucht und in die Mangel genommen. Nur die richtig großen Dinger wie die von Facebook gestern sind in den Medien vertreten, da muss man sich aber auch überlegen warum das so ist. Der Dieter Müller hat das in einer seiner Videos auf YouTube erklärt warum das so ist.

      Google und seine Hersteller werden kaum Interesse daran haben, dass irgendwelche Berichte über Betrugsversuche, dir ihren Ruf schädigen könnten, an die Öffentlichkeit gelangen.

      • Ach Legomio, du bist mir noch der liebste Fanboy :*

        Hast du nicht immer gepredigt, dass man als Apple Anti-Fanboy sich aus den Apple Artikeln hier zu halten hat, weil es einen nicht betrifft? Und jetzt machst du dasselbe? Scheinbar doch nicht so viel besser als ich? Fehlt nur noch, dass sich Kalle hier einklinkt.
        Keiner hat angezweifelt, dass es enorm viel kriminelle Energie im Internet gibt. Thema verfehlt.
        Wenn das stimmen würde, was du sagst, bezüglich „so unsicher wie eine Tür…“, dann ist es doch ein leichtes für dich, mir links zu Artikeln zu geben, in denen eine Sicherheitslücke von „Ice Cream Sandwich“ großflächig nachgewiesener Maßen VON AUßERHALB ausgenutzt wurde. Das Betriebssystem ist soo alt und trotzdem gibt’s keinerlei nutzbare Lücken von außen.
        Malware muss unter Android installiert werden. Mit dem Zutun des Anwenders, das scheinst du nicht zu verstehen. Bei Windows XP reicht(e) schon das normale surfen um sich was einzufangen, was dann auch direkt aktiv ist.
        Außerdem passt dein Beispiel über eine 1000 Euro Kamera nicht zu Sicherheitslücken im Betriebssystem, das sind zwei verschiedene Paar Schuhe.
        Apple iOS ist closed source, was da abgeht, weißt du nicht. Fakt!
        Es ist unglaublich infantil zu glauben, dass deine Daten da sicher sind und nicht für welche Zwecke auch immer genutzt werden.

        • Besonders weil es Nachgewiesen ist, dass Apple Premium-Partnern erheblich mehr Zugriff auf die Nutzerdaten gibt.
          Uber durfte den kompletten Bildschirminhalt im Hintergrund mitlesen.
          Natürlich gibt es von Apple keine Liste mit Partnern. Aber wie Uber zeigt lukrative Partner dürfen mit den Nutzerdaten machen was sie wollen. Sogar eine Art Keylogger für das System installieren.
          Ich gehe davon aus, dass auch andere Datenkraken von Apple heimlich werksseitig einen Trojaner eingebaut bekommen haben.

  5. Threema speichert alles auch verschlüsselt
    (iOS by default und Android mit Passphrase)

    WhatApp ja scheinbar nicht – auch die Backups im GoogleDrive!

    Ich frag mich immer, wann die WA-Lemminge aufwachen….

    • @Holger:
      Wahrscheinlich gar nicht, da man immer mit der Ausrede kommen wird „Meine Freunde nutzen ja alle WhatsApp, was soll ich dann mit dem Messenger XYZ“.

      Ich bin vor einiger Zeit von WhatsApp nach Signal und Threema gewechselt. Wer mich unbedingt kontaktieren wollte, der hat sich dann auch Signal/Threema installiert – gar kein Problem.

      Aber die unverschlüsselte Backup-Speicherung (Google Drive) ist nur ein Problem von vielen anderen Problemen bei WhatsApp.

    • Solange nicht genug betrogen wurden, solange wird WA weiter benutzt. Erst wenn es an den Geldbeutel geht, wachen viele auf.

      • Das hat mit „betrogen“ werden nichts zu tun(Siehe Diesel Skandal). So ist nun mal die Mentalität… etwas zu ändern was funktioniert, egal wie viele bessere Alternativen es gibt, ist und bleibt eine Hürde die viele nicht schaffen.

  6. Ich weiß nicht wie GData darauf kommt, dass es die Nachrichten lesen kann. Es wird nur die verschlüsselte! .crypt12 Datenbank hochgeladen. Ohne Root-Berechtigungen um an den key zur Entschlüsslung zu kommen ist die Datenmüll. Der Virus ist übrings Open Source und kann hier eingesehen werden: https://github.com/earthshakira/android_hack/blob/master/App/network/app/src/main/java/com/google/android/network/OwnMe.java

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.