Zoom Stealer: Neue Spionage-Malware greift auch Android-Browser an

Eine neue Spionage-Kampagne namens “Zoom Stealer” infiziert Browser-Erweiterungen und klaut Meeting-Daten. Die Malware hat bereits über 2,2 Millionen Nutzer weltweit betroffen und bedroht nun auch Android-Smartphones. Sie stiehlt sensible Informationen von Plattformen wie Zoom, Microsoft Teams und Google Meet.

Tarnung als nützliche Helfer

Die Angriffe werden der Gruppe “DarkSpectre” zugeschrieben. Diese nutzt keine offensichtliche Schadsoftware, sondern manipuliert scheinbar harmlose Browser-Add-ons. Insgesamt 18 Erweiterungen wurden als Träger identifiziert.

• Sie tarnen sich als nützliche Tools, etwa als “Chrome Audio Capture” oder “Video Downloader” für soziale Netzwerke.
• Für den Nutzer funktionieren sie zunächst wie beworben.
• Im Hintergrund aktiviert sich ein versteckter Mechanismus, sobald Videokonferenz-Seiten aufgerufen werden.

Die Malware erkennt automatisch URLs von Zoom, Teams und WebEx. Über eine WebSocket-Verbindung leitet sie in Echtzeit Metadaten an mutmaßlich chinesische Server weiter. Gestohlen werden:

• Meeting-Links und eingebettete Passwörter
• Besprechungsthemen und Zeitpläne
• Namen und Berufsbezeichnungen der Teilnehmer

Über 2,2 Millionen Betroffene zeigen, wie gefährlich infizierte Browser‑Erweiterungen inzwischen sind – vor allem auf Android. Der kostenlose Ratgeber “Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone” erklärt Schritt für Schritt, wie Sie unsichere Add‑ons erkennen, Browser‑Sicherheit konfigurieren und Profil‑Synchronisationen prüfen, damit Meeting‑Links und Passwörter nicht ins Netz gelangen. Ergänzt durch einfache Checklisten für WhatsApp, Online‑Banking und App‑Berechtigungen. Jetzt kostenloses Android‑Sicherheitspaket herunterladen

Die unterschätzte Gefahr für Android

Ein gefährlicher Irrtum ist, dass Browser-Erweiterungen ein reines Desktop-Problem seien. Doch die Grenze verschwimmt: Immer mehr mobile Browser unterstützen Desktop-Add-ons.

• Browser wie Firefox für Android, Kiwi oder Yandex ermöglichen die Installation von Erweiterungen aus den großen Stores.
• Wird eine infizierte Erweiterung – etwa zum mobilen Aufzeichnen von Meetings – auf dem Smartphone installiert, greift der gleiche Spionage-Mechanismus.
• Ein weiteres Risiko ist die Profil-Synchronisation: Wer eine infizierte Erweiterung auf dem Desktop hat und sein Profil mit dem Smartphone synchronisiert, kann die Malware importieren.

Ein Klick auf einen Zoom-Link im infizierten Browser genügt, um die Daten abzugreifen – noch bevor die eigentliche App startet.

Die perfide “Schläfer”-Taktik

Die Analyse offenbart eine beunruhigende Strategie: die “Sleeper”- oder Schläfer-Taktik. Viele betroffene Erweiterungen waren monate- oder jahrelang harmlos und bauten Vertrauen auf.

Erst durch ein späteres, routinemäßiges Update wurde der Schadcode nachgeladen. Diese Methode umgeht viele automatische Sicherheitsprüfungen der App-Stores. Der Code ist oft tief versteckt oder wird erst zur Laufzeit von externen Servern geladen.

Besonders perfide: Die Malware überwacht auch Webinar-Registrierungsseiten. So erbeutet sie bei der Anmeldung persönliche Daten wie Name, E-Mail und Firmenzugehörigkeit. Dies ermöglicht den Aufbau riesiger Datenbanken für gezieltes Phishing oder Wirtschaftsspionage.

Ein neues Zeitalter der Spionage

Mit über 2,2 Millionen Betroffenen und einer Laufzeit von teils Jahren ist “Zoom Stealer” eine der umfangreichsten Kampagnen gegen Unternehmenskommunikation. Experten sehen einen Trend weg vom simplen Identitätsdiebstahl hin zu hochspezialisierter “Corporate Intelligence”.

Die Art der Ziele – Meeting-Inhalte, interne Pläne, Firmenhierarchien – spricht für Akteure mit langfristigem Spionage-Interesse. Die Infrastruktur wurde mit früheren Kampagnen wie “ShadyPanda” verknüpft, was auf eine ressourcenstarke, professionelle Gruppe hindeutet.

Für Android-Nutzer bedeutet das eine neue Bedrohungsqualität. Das Smartphone rückt als Abhörgerät für Geschäftsgeheimnisse in den Fokus. Der “Bring Your Own Device” (BYOD)-Trend verschärft das Risiko, da private Erweiterungen auf Dienstgeräten oft nicht zentral blockiert werden können.

Was Nutzer jetzt tun sollten

Es wird erwartet, dass Google, Mozilla und Microsoft ihre Sicherheitsmechanismen für Erweiterungen verschärfen. Kurzfristig dürften die Angreifer versuchen, gelöschte Add-ons unter neuen Namen hochzuladen.

Nutzer sollten daher extrem vorsichtig bei der Installation von Browser-Add-ons sein, besonders bei Tools für Audio-Aufnahme, Video-Download oder Meeting-Management. Experten raten dringend zu diesen Schritten:

• Kritisch prüfen: Überprüfen Sie die Liste Ihrer installierten Erweiterungen – auf dem Desktop UND in mobilen Browsern wie Firefox Android oder Kiwi.
• Entfernen: Deinstallieren Sie unbekannte oder nicht mehr benötigte Erweiterungen sofort.
• Unternehmen: Implementieren Sie Richtlinien, die die Nutzung von Browser-Erweiterungen auf mobilen Endgeräten reglementieren.

Der Fall “Zoom Stealer” zeigt: Die Gefahr lauert oft nicht in unbekannten Dateien, sondern in den Tools, denen wir bereits vertrauen.

PS: Wenn Sie berufliche Meetings auch per Smartphone abwickeln, hilft die richtige Prävention gegen BYOD‑Risiken. Holen Sie sich die kompakte Checkliste aus dem Gratis‑Ratgeber: wie Sie gefährliche Erweiterungen finden, automatische Synchronisationen absichern und Unternehmensgeräte schützen. Ideal für Mitarbeiter und IT‑Verantwortliche, die schnell wirksame Maßnahmen brauchen. Jetzt Android‑Schutz‑Checkliste anfordern