GravityRAT: Neue Version der Android-Malware stiehlt Whatsapp-Backups

WhatsApp-Backups werden normalerweise auf dem Gerät selbst oder in der Cloud gespeichert. Wenn ein Gerät mit Malware infiziert ist, kann diese auf die WhatsApp-Backups zugreifen, sie kopieren und an einen entfernten Server senden, ohne dass der Benutzer dies bemerkt. Die gestohlenen Backups können dann von den Angreifern verwendet werden, um persönliche Informationen, Nachrichten oder sogar Anmeldeinformationen zu extrahieren. Eine neue Version der Spyware GravityRAT hat es aktuell offenbar gezielt auf Whatsapp-Backups abgesehen.

GravityRAT: Die Spyware kehrt zurück

GravityRAT ist ein Remote-Access-Tool (RAT), das seit mindestens 2015 aktiv ist und für gezielte Angriffe, insbesondere in Indien, verwendet wurde. Es gibt verschiedene Versionen von GravityRAT, die für Windows, Android und macOS entwickelt wurden. Die Existenz und Aktivitäten dieser Spyware wurden von Sicherheitsunternehmen wie Cisco Talos, Kaspersky und Cyble dokumentiert. Der Android-Trojaner ermöglicht es den Angreifern, auf infizierte Geräte zuzugreifen und eine Vielzahl von Aktionen durchzuführen, darunter das Sammeln von Informationen, das Abfangen von Tastatureingaben, das Überwachen von Aktivitäten, das Herunterladen und Ausführen von Dateien sowie das Fernsteuern des infizierten Geräts.

Nun haben Sicherheitsforscher von ESET offenbar eine neue Android-Version der Spyware GravityRAT entdeckt. Diese Version verbirgt sich in infizierten Versionen der Messaging-Apps BingeChat und Chatico. Die Schadsoftware tarnt sich, indem sie eine legitime Chat-Funktionalität bietet, die auf der Open-Source-Anwendung OMEMO Instant Messenger basiert.

Die GravityRAT-Malware hat laut den Forschern nun zusätzlich die Fähigkeit, WhatsApp-Backups zu stehlen und Dateien auf den infizierten Geräten zu löschen. Die Gruppe SpaceCobra wird als möglicher Akteur hinter dieser Kampagne vermutet, die anscheinend seit August 2022 aktiv ist. Die Kampagnen von SpaceCobra sind zwar sehr zielgerichtet und konzentrieren sich in der Regel auf Indien. Dennoch sollten alle Android-Nutzer vorsichtig sein und es vermeiden, APKs von außerhalb des Google Play Store herunterzuladen. Besonders bei der Installation von Apps mit riskanten Genehmigungsanfragen gilt es, wachsam zu sein.

Schutz vor Malware

Es ist wichtig, sich vor solchen Bedrohungen zu schützen, indem man bewusst mit seinen mobilen Geräten umgeht und einige Sicherheitsmaßnahmen beachtet. Dazu gehören:

1. Aktuelle Software: Stellen Sie sicher, dass Ihr Android-Betriebssystem und alle Apps, einschließlich WhatsApp, auf dem neuesten Stand sind. Regelmäßige Updates enthalten oft Sicherheitsverbesserungen und schließen bekannte Sicherheitslücken.
2. Download von vertrauenswürdigen Quellen: Laden Sie Apps nur aus vertrauenswürdigen Quellen wie dem Google Play Store herunter. Vermeiden Sie das Installieren von Apps aus unbekannten oder unsicheren Quellen, da diese möglicherweise schädliche Inhalte enthalten.
3. Antivirus-Software: Verwenden Sie eine zuverlässige Antivirus-Software auf Ihrem Android-Gerät, um schädliche Apps und Malware zu erkennen und zu blockieren.
4. Vorsicht bei Links und Anhängen: Öffnen Sie keine verdächtigen Links oder Anhänge, die Ihnen per E-Mail, Textnachricht oder in anderen Kommunikationskanälen zugesandt werden, insbesondere wenn sie von unbekannten Absendern stammen.
5. Sichern Sie Ihre Daten: Sichern Sie regelmäßig Ihre wichtigen Daten, einschließlich WhatsApp-Backups, auf sichere Speicherorte, um im Falle eines Datenverlustes oder einer Infektion mit Malware eine Wiederherstellung zu ermöglichen.

Es ist auch ratsam, sich über aktuelle Sicherheitswarnungen und Empfehlungen von vertrauenswürdigen Quellen auf dem Laufenden zu halten, um über neue Bedrohungen und Schutzmaßnahmen informiert zu sein.