Die meisten Telegram- und Signal-Mods sind Spyware, und so erkennen Sie sie

Die zentralen Thesen

• Der Aufstieg unregulierter App-Mods für Signal und Telegram hat Cyberkriminelle angezogen, die Malware verbreiten und ahnungslose Benutzer ausspionieren.
• Einige mit Spyware infizierte gefälschte Telegram-Mods haben private Daten von Benutzern offengelegt, während gefälschte Signal-Mods es Hackern ermöglichten, sich in die Signal-Konten der Opfer einzuloggen.
• Informieren Sie sich unbedingt über Entwickler, überprüfen Sie Bewertungen und Rezensionen, meiden Sie App-Stores von Drittanbietern, überprüfen Sie App-Berechtigungen und verwenden Sie Sicherheitssoftware, um sich vor gefälschten Signal- und Telegram-Apps zu schützen.

Signal und Telegram sind zwei der weltweit beliebtesten sicheren Messaging-Apps; Sie legen großen Wert darauf, die Privatsphäre der Benutzer zu schützen, sind einfach zu bedienen und verfügen über zahlreiche coole Funktionen.

Aber die Leute wollen immer mehr von ihren Apps. Eine Zunahme unregulierter Signal- und Telegram-App-Mods mit mehr Funktionen hat eine beträchtliche Anzahl von Benutzern erfasst, die Cyberkriminelle ausnutzen, um Malware und mehr zu verbreiten.

Was sind App-Mods?

App-Mods sind keine per se böse Idee. Software wird normalerweise von Technikbegeisterten, Drittentwicklern und Fans modifiziert. Oder besser gesagt, von Leuten, die glauben, dass der Basisversion der App bestimmte Funktionalitäten fehlen oder sie über unnötige Features verfügt, die ihre Leistung beeinträchtigen.

Einige Softwareunternehmen mögen das Konzept nicht und tun ihr Bestes, um gegen modifizierte Versionen ihrer Produkte vorzugehen. Andere sind jedoch nicht dagegen und ermutigen Entwickler, eigene Clients oder modifizierte Versionen derselben App zu entwickeln.

Wie funktioniert Spyware in Telegramm- und Signalklonen?

Hier wird es unheimlich: Cyberkriminelle haben erkannt, dass es einen Markt für App-Mods gibt, und nutzen diesen aus, um Malware zu verbreiten. Genau das ist bei bestimmten Telegram-Klonen passiert, wie das Cybersicherheitsunternehmen herausgefunden hat Kaspersky, das seine Ergebnisse im September 2023 veröffentlichte. ESET, stellte unterdessen im August 2023 fest, dass Bedrohungsakteure auch gefälschte Signal-Mods erstellen, um ahnungslose Benutzer auszuspionieren.

Gefälschte Telegram-Mods erschienen bei Google Play als App-Versionen für traditionelles Chinesisch, Uigurisch und vereinfachtes Chinesisch. Der böswillige Entwickler gab sich große Mühe, überzeugend zu wirken, indem er Bilder verwendete, die diesen ähnelten Telegram verwendet auf seinen offiziellen Kanälen, während App-Beschreibungen in den oben genannten Kanälen verfasst wurden Sprachen. Der Mod wurde als schnellere, leichtere Version von Telegram beworben.

Kurz gesagt, dies schien ein absolut legitimer Mod zu sein, ähnlich den Mods, die Telegram selbst unterstützt und zu deren Erstellung Entwickler ermutigt. Es gab jedoch einen erheblichen Unterschied: Die gefälschte Telegram-App hatte einen völlig anderen Code, der es ihren Entwicklern ermöglichte, jeden auszuspionieren, der sie herunterlädt und verwendet. Bei denjenigen, die den Fehler machten, diesen Mod zu installieren, wurden ihre Kontakte, Nachrichten, Dateien, Namen und Telefonnummern offengelegt. Alle diese Informationen wurden an den Bedrohungsakteur gesendet, als die Leute die App nutzten.

Bei Signal verfolgte der Bedrohungsakteur einen etwas anderen Ansatz. Sie haben einen Mod namens Signal Plus Messenger entworfen und eine gefälschte Website erstellt, um seriöser zu wirken. Die im gefälschten Signal-Mod gefundene Malware war wohl gefährlicher als in der gefälschten Telegram-App, da sie es ihren Erstellern ermöglichte, sich beim Signal-Konto des Ziels anzumelden.

Beide Mods können sein als Spyware eingestuft, eine Art von Malware, die darauf abzielt, Informationen über das Ziel ohne dessen Wissen oder Zustimmung zu sammeln.

ESET und Kaspersky gehen davon aus, dass hinter beiden Mods und mehreren anderen bösartigen Apps dieselbe Hackergruppe, GREF, steckt. Berichten zufolge hat die Gruppe Verbindungen zur chinesischen Regierung und verbreitet typischerweise Schadcode, der als BadBazaar identifiziert wurde.

Warum enthalten diese Telegram- und Signal-Apps Spyware?

Warum verbreiten sie diese bösartigen Mods? Laut dem ESET-Bericht besteht einer der Hauptgründe darin, ethnische Minderheiten in China auszuspionieren.

Die gefälschten Apps wurden später aus dem entfernt Google Play Store und Samsung Galaxy Store, aber der Schaden war bereits angerichtet. Man kann mit Sicherheit davon ausgehen, dass sie von Tausenden von Menschen (weltweit, nicht nur in China) heruntergeladen wurden, deren private Daten offengelegt wurden und sich wahrscheinlich in den Händen der chinesischen Regierung befanden.

Zugegeben, es gibt noch andere Betrüger, die Spyware-verseuchte Mods verbreiten, meist aus finanziellen Gründen. Die eigentliche Frage ist: Wie sind diese bösartigen Apps überhaupt in zwei große, seriöse App-Stores gelangt? Gibt es in diesen Geschäften keine Moderatoren, deren Aufgabe es ist, Schadcode zu identifizieren?

Googles Juli-Trendbericht [PDF] lieferte eine Erklärung und gab an, dass die Forscher Bedrohungsakteure entdeckt hätten, die Sicherheitskontrollen durch Versionierung umgehen. Das bedeutet, dass sie zunächst völlig legitime Mods erstellen und später über ein Update Malware einschleusen. Natürlich sollten alle Updates vor der Freigabe auch von Google analysiert werden, doch das Unternehmen hat offenbar Mühe, seinen App Store von Schadsoftware zu befreien.

So schützen Sie sich vor Fake-Signal- und Telegram-Apps

Dass diese speziellen Signal- und Telegram-Mods nicht mehr im Google Play Store und im Samsung Galaxy Store verfügbar sind, bedeutet nicht viel, da sie höchstwahrscheinlich in irgendeiner Form wieder auftauchen werden. Selbst wenn dies nicht der Fall ist, werden andere gefälschte Mods ihren Platz einnehmen.

Um sicher zu gehen, müssen Sie wissen, wie Sie zwischen echten und gefälschten Apps, legitimen Mods und solchen, die Malware enthalten, unterscheiden können.

1. Erforschen Sie den Entwickler

Informieren Sie sich vor dem Herunterladen einer modifizierten App über die Personen, die dahinter stehen. Sind sie echt? Wer sind Sie? Werden ihre Aktivitäten vom ursprünglichen Entwickler unterstützt?

2. Überprüfen Sie Bewertungen und Rezensionen

Es ist immer eine gute Idee, zu überprüfen, was andere Leute sagen, und sich die Bewertungen und Rezensionen anzusehen. Dies ist keine kugelsichere Strategie, aber sie kann Ihnen dennoch dabei helfen, festzustellen, ob der Mod, den Sie herunterladen möchten, sicher ist.

3. Vermeiden Sie App-Stores von Drittanbietern

Als allgemeine Faustregel gilt, dass Sie keine Software aus App-Stores von Drittanbietern oder beliebigen Websites herunterladen sollten. Beim Google Play Store gibt es möglicherweise Probleme, aber er verfügt auch über gewisse Schutzmaßnahmen und ist eine viel sicherere Option. Trotzdem gibt es einige seriöse Websites dafür sichere APK-Downloads.

4. Überprüfen Sie die App-Berechtigungen

Bei Apps wie Signal und Telegram steht der Datenschutz im Mittelpunkt und sie werden niemals nach ungewöhnlichen Berechtigungen fragen. Möglicherweise handelt es sich jedoch um eine böswillig modifizierte App. Um zu überprüfen, ob eine verdächtige App nach ungewöhnlichen Berechtigungen fragt, navigieren Sie zu Einstellungen > Apps, suchen Sie die betreffende App und tippen Sie darauf. Alternativ können Sie auch lange auf die App auf Ihrem Startbildschirm drücken und auswählen App-Info > Berechtigungen. Aufgrund der Unterschiede in der Funktionsweise von Android auf verschiedenen Geräten können die Menünamen und Prozesse leicht variieren, der Prozess ist jedoch ähnlich.

5. Verwenden Sie Sicherheitssoftware

Selbst wenn Sie den Fehler machen, einen mit Spyware infizierten App-Mod herunterzuladen, kann Sicherheitssoftware Sie möglicherweise schützen. Es gibt einige kostenlose Antiviren-Apps für Android das wird die Arbeit erledigen.

Seien Sie vorsichtig mit modifizierten Apps

Modifizierte Apps ermöglichen Benutzern, Software auf neuartige Weise zu erleben, können jedoch auch ein Sicherheitsrisiko darstellen. Das bedeutet nicht, dass Sie modifizierte Versionen beliebter Apps gänzlich meiden sollten, aber Sie müssen zusätzliche Vorsichtsmaßnahmen treffen.

Signal und Telegram sind anderen Messaging-Apps in Bezug auf Sicherheit und Datenschutz meilenweit voraus. Für den Durchschnittsmenschen sind sie so wie sie sind gut genug.