Gefälschte Dating-App dient als Spionagewerkzeug

"Unter der romantischen Fassade besteht der eigentliche Zweck der App darin, die Daten der Opfer auszuspionieren. Der raffinierte Datendiebstahl beginnt direkt nach der Installation und setzt sich fort, solange die App auf dem Gerät aktiv ist", erklärt ESET-Forscher Lukas Stefanko, der die Kampagne untersucht hat.

Romance-Scam: Einfallstor für Überwachung

Im Zentrum der Kampagne steht eine Android-Spyware mit dem Namen "GhostChat". Die App war nie im Google Play Store verfügbar, sondern musste manuell aus Drittquellen installiert werden. Optisch gibt sie sich als harmlose Chatplattform aus, tatsächlich dient sie jedoch ausschließlich der verdeckten Überwachung. Bereits beim Start beginnt GhostChat im Hintergrund mit der Datenerfassung und überträgt unter anderem Gerätekennungen, Kontaktlisten sowie Dateien wie Bilder und Dokumente an einen Kommando- und Kontrollserver.

Exklusivität als psychologischer Hebel

Auffällig ist der gezielte psychologische Ansatz der Angreifer. Innerhalb der App werden den Opfern angeblich gesperrte weibliche Profile angezeigt, die erst nach Eingabe spezieller Zugangscodes freigeschaltet werden können. Diese Codes sind jedoch fest im Programmcode hinterlegt und dienen ausschließlich dazu, den Eindruck von Exklusivität zu erzeugen. Nach der Freischaltung leitet die App die Nutzer zu WhatsApp weiter. Hier beginnt die Kommunikation mit den hinterlegten pakistanischen Telefonnummern. Anstelle der Angebeteten befinden sich hinter den Nummern aber die Angreifer selbst.

"Diese Schadsoftware täuscht auf eine Weise, die wir noch nie gesehen haben", sagt ESET-Forscher Lukas Stefanko, der die Kampagne untersucht hat. "Die Kombination aus vorgetäuschter Verknappung und lokal wirkenden Kontakten erhöht gezielt die Glaubwürdigkeit der Masche und senkt die Hemmschwelle der Betroffenen."

Teil einer größeren Spionageoperation

Die Untersuchungen zeigen zudem, dass GhostChat nur ein Bestandteil einer umfassenderen Überwachungskampagne ist. Dieselbe Infrastruktur wurde auch für Angriffe auf Windows-Rechner genutzt: Hierbei verleiteten die Cyberkriminellen ihre Opfer dazu, über gefälschte Webseiten angeblicher pakistanischer Behörden selbst Schadcode auszuführen. Diese Kombination aus Social Engineering und Ausführung durch Betroffene nennen Cybersicherheitsexperten "ClickFix".

Parallel dazu identifizierten die Forscher eine weitere Angriffsmethode, bei der die Hacker WhatsApp-Konten über die Geräteverknüpfungsfunktion kompromittieren. Nutzer wurden dabei mittels QR-Code dazu verleitet, ihre Konten mit Geräten der Angreifer zu koppeln. Auf diese Weise erhielten die Täter Zugriff auf private Chats und Kontaktlisten, ohne das Konto selbst übernehmen zu müssen.

Gezielt, koordiniert und schwer zuzuordnen

Nach Einschätzung der Forscher deutet die Kombination aus mobiler Spyware, Desktop-Angriffen und der Ausnutzung populärer Kommunikationsdienste auf eine koordinierte, plattformübergreifende Spionagekampagne hin. Zwar lässt sich die Operation bislang keinem bekannten Akteur eindeutig zuordnen, der klare Fokus auf pakistanische Nutzer sowie die Nachahmung staatlicher Institutionen spricht jedoch für ein hohes Maß an Vorbereitung und Präzision. Android-Nutzer mit aktivem Google Play Protect sind geschützt.

"Der Fall verdeutlicht, wie wirkungsvoll soziale Manipulation in Verbindung mit technisch einfacher Schadsoftware sein kann", schließt Stefanko ab. "Hacker sind umso erfolgreicher, je besser sie ihre Opfer einschätzen können und lokale Gegebenheiten kennen."

Weitere Informationen zum aktuellen Fall gibt es in ESETs Blogpost "Love hacks – Wie eine Fake-App ahnungslose Nutzer in die Falle lockt ( https://www.welivesecurity.com/de/eset-research/love-hacks-wie-eine-fake-app-ahnungslose-nutzer-in-die-falle-lockt )" auf Welivsecurity.com.

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de