WolfRAT ist ein Trojaner-Virus, der Smartphones übernimmt und persönliche Daten des Nutzers sammelt, vor allem über WhatsApp und Messenger
Forscher der Cisco Talos Security Intelligence and Research Group haben einen gefährlichen neuen Virus entdeckt, den sie WolfRAT getauft haben und der vor allem Instant-Messaging-Apps wie Facebook Messenger, Line und vor allem WhatsApp angreift. Es handelt sich nicht um einen neuen Virus, sondern um eine neue Version eines bekannten Virus: DenDroid.
Genauer gesagt, handelt es sich um einen 'RAT', einen Remote Access Trojaner. Diese Viren übernehmen die Kontrolle über infizierte Geräte, um persönliche Daten zu stehlen und den Benutzer auszuspionieren. Im speziellen Fall von WolfRAT handelt es sich um einen sehr merkwürdigen Virus, denn er scheint eine verpfuschte Version von DenDroid zu sein: In seinem Code wurden mehrere tote (d. h. nutzlose) Zeichenfolgen und einige Fehler gefunden, so dass die Malware nicht immer effektiv ist. Der Virus, von dem er abstammt, nämlich DenDroid, stammt zwar aus dem Jahr 2015, ist aber immer noch ziemlich raffiniert und gefährlich. Vor allem aber scheint WolfRAT auf eine Gruppe von Hackern zurückzuführen zu sein, von der man annimmt, dass sie sich aufgelöst hat.
WolfRAT: Wie es funktioniert und was Sie riskieren
Zurzeit ist das Risiko von WolfRAT für italienische Nutzer nur virtuell, da der Virus nur auf Geräten in Thailand isoliert wurde, wo er (genau wie bei DenDroid) über gefälschte Update-Benachrichtigungen für Chrome, Flash oder Play Store verbreitet wurde. Sobald WolfRAT auf dem Gerät installiert ist, infiziert es dieses und beginnt mit dem Sammeln von Daten wie dem Browserverlauf und den Anruf- und SMS-Listen. Aber das ist noch nicht alles, denn der Virus ist auch in der Lage, die Kontrolle über Kamera und Mikrofon zu übernehmen und bei geöffnetem WhatsApp alle 50 Sekunden Videos vom Bildschirm des Benutzers aufzunehmen. Das gesamte gesammelte Material wird dann an Command and Control (C2)-Server in Thailand gesendet. Der thailändische Ursprung der Malware scheint auch durch einige JavaScript-Befehle bestätigt zu werden, die in der Sprache des asiatischen Landes geschrieben sind.
Wolf Research is back?
Die Server, die die von WolfRAT gestohlenen Daten erhalten haben, können laut Talos-Forschern zu einem bekannten Spyware-Anbieter namens Wolf Research zurückverfolgt werden, demselben, der vor fünf Jahren DenDroid entwickelt hat. Laut einem VirusTotal-Bericht von 2018 hat Wolf Research in der Vergangenheit Malware zur Fernüberwachung von Windows-, Android- und iOS-Geräten an ausländische Regierungen verkauft. Wolf Research ist jedoch offiziell geschlossen, da es in ein anderes Unternehmen namens LokD umgewandelt wurde. Talos' Hypothese ist, dass immer noch ehemalige Mitarbeiter von Wolf Research im Geschäft sind und dass diese Personen den Code von DenDroid wieder übernehmen, um ihn zu einem neuen und leistungsfähigeren Virus umzuarbeiten.