Jena (pts) – Online-Dating hat sich als beliebtes Ziel für Cyberkriminelle etabliert. Sicherheitsforscher von ESET haben eine neuartige digitale Betrugsmasche in Pakistan aufgedeckt, bei der eine manipulierte Android-App als Köder verwendet wird, um ahnungslose Nutzer auszuspionieren. Diese Schadsoftware tarnt sich als Dating-App und entzieht den infizierten Mobilgeräten sensible Daten.
Der ESET-Forscher Lukas Stefanko hebt hervor, dass der wahre Zweck der App darin besteht, die Daten der Opfer auszuspionieren. Der raffinierte Datendiebstahl beginnt sofort nach der Installation und läuft weiter, solange die App aktiv bleibt.
Romance-Scam als Einfallstor für Überwachung
Im Fokus der Kampagne steht eine Android-Spyware namens „GhostChat“, die nie im Google Play Store verfügbar war und manuell aus Drittquellen installiert werden musste. Die App gibt sich als harmlose Chat-Plattform aus, tatsächlich hat sie jedoch den alleinigen Zweck der verdeckten Überwachung. Sie beginnt bereits beim Start, im Hintergrund Daten wie Gerätekennungen, Kontaktlisten sowie Dateien zu sammeln und an einen Kommando- und Kontrollserver zu übermitteln.
Exklusivität als psychologischer Hebel
Eine auffällige Taktik der Angreifer ist der Einsatz eines gezielten psychologischen Ansatzes. Innerhalb der App werden den Nutzern angeblich gesperrte weibliche Profile angezeigt, die erst nach Eingabe bestimmter Zugangscodes freigeschaltet werden können. Diese Codes sind jedoch im Programmcode hinterlegt und sollen lediglich den Anschein von Exklusivität erwecken. Nach der Freischaltung werden die Nutzer zu WhatsApp geleitet, wo die Kommunikation mit den Angreifern, nicht mit echten Profilen, beginnt.
Lukas Stefanko beschreibt die Vorgehensweise der Schadsoftware als neuartig. Die Kombination aus virtueller Verknappung und lokal agierenden Kontakten erhöht die Glaubwürdigkeit der Masche und senkt die Hemmschwelle für die Opfer.
Teil einer größeren Spionageoperation
Die Untersuchungen zeigen, dass GhostChat nur ein Teil einer umfassenderen Überwachungskampagne ist. Dieselbe Infrastruktur wurde auch für Angriffe auf Windows-Rechner genutzt, bei denen Cyberkriminelle ihre Opfer über gefälschte Webseiten angeblicher pakistanischer Behörden dazu brachten, Schadcode auszuführen. Diese Technik wird von Cybersicherheitsexperten als „ClickFix“ bezeichnet.
Zusätzlich identifizierten die Forscher Angriffe auf WhatsApp-Konten, bei denen Nutzer mittels QR-Code ihre Konten mit Geräten der Angreifer koppeln sollten. Auf diese Weise erhalten die Täter Zugriff auf private Chats und Kontaktlisten, ohne das Konto übernehmen zu müssen.
Gezielt, koordiniert und schwer zuzuordnen
Die Kombination aus mobiler Spyware, Desktop-Angriffen und der Ausnutzung populärer Kommunikationsdienste lässt auf eine koordinierte und plattformübergreifende Spionagekampagne schließen. Obwohl die Operation bislang keinem klaren Akteur zugeordnet werden kann, spricht der Fokus auf pakistanische Nutzer und die Nachahmung staatlicher Institutionen für ein hohes Maß an Planung und Präzision. Android-Nutzer mit aktivem Google Play Protect sind jedoch geschützt.
Stefanko fasst zusammen, dass der Fall zeigt, wie wirkungsvoll soziale Manipulation in Verbindung mit einfacher, jedoch technischer Schadsoftware sein kann. Cyberkriminelle sind umso erfolgreicher, je besser sie ihre Opfer einschätzen können und lokale Gegebenheiten kennen.
Hintergrund
Die Nutzung von Online-Dating-Plattformen hat in den letzten Jahren stark zugenommen, was sie zu einem attraktiven Ziel für Cyberkriminalität macht. Die Gefahr von Social Engineering, bei dem Nutzer durch psychologische Tricks zur Preisgabe persönlicher Daten bewegt werden, wächst ebenfalls.
Quelle: pressetext, Datum: 28. Jänner 2026
Autor: hml (hml@scripora.com)