Sicherheitsforscher von Dr.Web haben eine ausgeklügelte Betragskampagne aufgedeckt, bei der Cyberkriminelle gefälschte Budget-Smartphones mit vorinstallierter schadhafter WhatsApp-Version nutzen, um Kryptowährungen zu stehlen. Die Angreifer haben sich Zugang zur Lieferkette verschiedener chinesischer Smartphone-Hersteller verschafft und verbreiten manipulierte Geräte im großen Stil.
Technische Details der Malware-Kampagne
Die als „Shibai“ klassifizierte Schadsoftware wurde nach Nutzerberichten entdeckt, die Dr.Web Security Space auf ihren neuen Android-Geräten installierten. Die Malware nutzt das LSPatch-Framework zur Modifikation der WhatsApp-Installation und implementiert ausgefeilte Mechanismen zur Verschleierung ihrer Aktivitäten. Besonders besorgniserregend ist die tiefe Integration in die Systempartition der Geräte, was eine Entfernung erheblich erschwert.
Betroffene Geräte und Erkennungsmerkmale
Die kompromittierten Smartphones werden hauptsächlich im Budget-Segment vertrieben und imitieren bekannte Markenprodukte mit Bezeichnungen wie S23 Ultra, Note 13 Pro und P70 Ultra. Etwa ein Drittel der identifizierten Geräte trägt die Marke SHOWJI. Die Geräte verfügen über spezielle Software zur Fälschung technischer Spezifikationen, die sowohl in den Systemeinstellungen als auch in Diagnose-Apps täuschend echte Werte anzeigt.
Funktionsweise und Schadenspotential
Der Shibai-Trojaner führt mehrere kritische Operationen durch:
- Manipulation von Kryptowährung-Wallet-Adressen in Nachrichten
- Verhinderung legitimer App-Updates
- Extraktion sensibler Daten und Seed-Phrasen aus Bildern
- Weiterleitung sämtlicher Kommunikation an Command-and-Control-Server
Infrastruktur und finanzieller Schaden
Die Forscher identifizierten über 60 Command-and-Control-Server und etwa 30 Domains im Zusammenhang mit der Kampagne. Der nachgewiesene finanzielle Schaden beläuft sich bereits auf mehrere Millionen Dollar, wobei allein auf zwei überwachten Wallet-Adressen Transaktionen im Wert von über 1,5 Millionen US-Dollar registriert wurden.
Zur Prävention empfehlen Sicherheitsexperten den Einsatz vertrauenswürdiger Antivirensoftware und den ausschließlichen Kauf von Smartphones bei autorisierten Händlern. Besondere Vorsicht ist bei verdächtig günstigen Angeboten geboten. Nutzer sollten vor dem Kauf die Authentizität der Geräte überprüfen und kritisch hinterfragen, ob die angegebenen Spezifikationen im Verhältnis zum Preis realistisch erscheinen. Für den sicheren Umgang mit Kryptowährungen wird dringend empfohlen, separate, dedizierte Hardware-Wallets zu verwenden und niemals sensitive Wallet-Informationen über Messaging-Dienste zu teilen.
