„Unsere ersten technischen Analysen haben das ergeben GEEIGNET „Bahamut steckt hinter dem Angriff“, bemerkte Cyfirma. Diese Malware weist einen ähnlichen Funktionsmechanismus auf wie eine zuvor identifizierte Malware, die über den Google Play Store von der APT-Gruppe namens „Unterlassen Sie‚. Allerdings stellt die neue Malware ein höheres Bedrohungsniveau dar, da sie über mehr Berechtigungen verfügt. Berichten zufolge nutzte die Bahamut-Gruppe im Jahr 2022 gefälschte VPN-Apps für die Android-Plattform. Diese Apps sollen umfangreiche Spyware-Funktionen enthalten.
Welche Auswirkungen hat es auf die Benutzer?
Bei der Android-Spyware handelt es sich vermutlich um eine Variante von „Coverlm“. Solche Malware kann Daten von Messaging-Apps stehlen Telegramm, SignalWhatsApp, Viber und Facebook Messenger.
Berichten zufolge werden Links zur Installation der App über Phishing-Nachrichten auf WhatsApp verbreitet. Diese Nachrichten verleiten Opfer dazu, eine Chat-App zu installieren, unter dem Vorwand, die Konversation auf eine sicherere Plattform zu verlagern.
Der Bericht erwähnt das Sicherer Chat verfügt über eine trügerische Schnittstelle. Dies lässt es als legitime Chat-App erscheinen. Die App führt das Opfer außerdem durch einen Benutzerregistrierungsprozess, der ebenfalls echt aussieht. Diese Funktionen verleihen der App Glaubwürdigkeit und dienen als gute Tarnung für Spyware.
Nach der Installation erscheint die verdächtige App im Hauptmenü mit dem Namen „Safe Chat“. Wenn Benutzer die App zum ersten Mal öffnen, werden Popup-Meldungen angezeigt, in denen der Benutzer aufgefordert wird, Berechtigungen wie den Zugriff zu erteilen Barrierefreiheitsdienste, Kontaktliste, SMS, Anrufprotokolle, externe Gerätespeicherung und genaue GPS-Standortdaten. Die App fordert Benutzer außerdem auf, den Ausschluss vom Batterieoptimierungs-Subsystem von Android zu genehmigen. Dadurch werden die Hintergrundprozesse beendet, wenn der Benutzer nicht aktiv mit der App interagiert.
Sobald die Berechtigungen erteilt wurden, können die Hacker die volle Kontrolle über das Gerät erlangen. In der Zwischenzeit leitet die App die Benutzer nach dem Öffnen auf eine Zielseite weiter, auf der sie über den Betrieb einer sicheren Chat-App informiert werden.