Cyber-Kriminelle nutzen Hype um Kryptowährungen

„Mobile Miners“ attackieren offizielle Webstores, um Zugang zu einer breiten Öffentlichkeit zu erlangen

[datensicherheit.de, 27.06.2018] „Hören Sie es graben?“, fragt Dietmar Schnabel, „Regional Director Central Europe“ bei Check Point Software Technologies, und nimmt Stellung zu den Gefahren der „Mobile Miners“. Cyber-Kriminelle, die ihren Fokus vor allem auf mobile Malware legten, müssten sich schnell und flexibel anpassen: Um eine höhere Reichweite zu erzielen, sei es für sie notwendig, Trends – wie den der Cyber-Währungen – zu folgen.

Vielfältiges Vorgehen der Cyber-Kriminellen

Cyber-Kriminelle nutzten den derzeitigen Hype um Kryptowährungen auf unterschiedliche Weise. Einige „Mobile Miners“ versuchten, die digitalen Währungen heimlich zu stehlen, andere wiederum den Nutzer dazu zu verleiten, bewusst – gegen einen Anteil an gestohlenen Coins – Malware zu installieren. „Die tatsächliche Absicht besteht aber darin, illegitime Werbeanzeigen zu veröffentlichen. Anspruchsvollere Malware versucht hingegen Zugangsdaten zu hacken, um so an das Kryptogeld zu kommen“, erläutert Schnabel.

© Check Point

Dietmar Schnabel, „Regional Director Central Europe“ bei Check Point Software Technologies

Trotz der Unterschiede gebe es auch einige Gemeinsamkeiten. Zunächst einmal gelinge es den „Mobile Miners“ in die offiziellen Webstores von Google und Apple einzudringen und so Zugang zu einer breiten Öffentlichkeit zu erlangen. Darüber hinaus nutzten sie von anderen mobilen Malware-Familien eingeführte Technologien, wie beispielsweise der Banking-Malware und Adware, um darauf aufbauend die eigenen Ergebnisse zu verbessern. Schnabel: „Es stellt sich nun die Frage, welche Formen diese Angriffe annehmen können und welche Schutzmöglichkeiten es gibt…“

1. Verdecktes Mining:
   Ein Typus dieser ,Mobile Miners‘ infiziert das Gerät des Opfers, indem es sich als unabhängige und legitime App tarnt und dann die Rechnerleistung des Gerätes nutzt, um Kryptowährungen zu schürfen. Die Malware versucht so eine große Anzahl an Geräten zu infizieren, um dann wiederum ein Botnet zu bilden. Die bösartigen Aktivitäten sind kaum wahrnehmbar, oft schlüpfen sie ganz einfach durch die Maschen der Sicherheitsnetze der App-Stores“, führt Schnabel aus.
   Diese heimlichen Manöver hätten in den letzten Jahren zu einem Anstieg dieser verdeckten Cryptominer geführt. Tatsächlich seien erst kürzlich viele dieser bösartigen Apps in „Google Play“ eingeschleust worden – der Höhepunkt sei aber noch lange nicht erreicht.
   Check-Point-Forscher hätten ebenfalls ein Exemplar einer Mining-Malware auf „Google Play“ entdeckt, das vor der Löschung aus dem Store bereits über 10.000 Mal heruntergeladen worden sei. Ein anderer Malware-Stamm habe sich per SMS-Nachrichten verbreitet – mit dem Versprechen, kostenlose Bitcoins zu erhalten, an die Nutzer versandt. Tatsächlich hätten die Cyber-Kriminellen die Geräte aber für Cryptomining missbraucht. Mining-Aktivitäten seien auch Teil der umfassendsten jemals gefundenen, in einem Botnet bereitgestellten Malware.
2. „Scam Miners“ – Mining-Werbung
   Angesichts der rasanten Wertsteigerung von Kryptowährungen sei es verständlich, dass viele in das Geschäft mit einsteigen möchten. Schnabel: „Jedoch nicht alle haben die technischen Fähigkeiten, die zum Schürfen dieser Währungen erforderlich sind. Cyber-Kriminelle nutzen diese Kombination aus Wunsch und Wissensmangel zu ihrem eigenen Vorteil und versprechen Nutzern einen Anteil an den geschürften Coins als Gegenleistung für das freiwillige Installieren der ,Mining‘-Software.“
   Alles, was der Nutzer jedoch als Gegenleistung für seinen guten Willen bekomme, sei die Anzeige unerwünschter und illegitimer Werbung – profitiert habe dabei dann nur der Malware-Entwickler.
   Check Points Forscher hätten kürzlich ein Exemplar dieses Malware-Typs auf „Google Play“ – versteckt in einer App entdeckt, die bereits über 100.000 Mal heruntergeladen worden sei. „Es wurde behauptet, dass die App Bitcoins schürft“, so Schnabel – und zusätzlich jedem neuen Nutzer 50.000 Satoshis (die kleinste Bitcoin-Einheit, die zum Zeitpunkt der Veröffentlichung rund 10 US-Dollar Wert gehabt habe) zu zahlen. Der Nutzer habe seinen Anteil allerdings erst abheben dürfen, wenn eine bestimmte, sehr hohe Summe an Bitcoins zusammengekommen ist. Somit werde der versprochene Anteil also nie ausgezahlt, da diese Bitcoin-Summe niemals erreicht werde. Zusätzlich würden die App-Nutzer aufgefordert, gute Bewertungen – im Idealfall mit fünf Sternen – abzugeben. So sollten noch weitere potenzielle Opfer dazu verleitet werden, diese App herunterzuladen.
3. Crypto-Banker – ein neuer Typ von „Mobile Bankers“
   Am schädlichsten seien vermutlich jene „Mobile Miners“, die versuchten Zugangsdaten zur Kryptogeldbörse zu stehlen, indem sie Kryptowährungsseiten imitierten.
   Ein erstes Beispiel hierfür sei im Oktober 2017 im „Google Play-Store“ entdeckt worden. Schnabel: „Dabei hatte sich die Malware als die mobile App der Kryptobörse ,Poloniex‘ getarnt. Nach dem Download wurden die Nutzer aufgefordert ihre persönlichen Zugangsdaten einzugeben, um auf ihr Konto zugreifen zu können. Tatsächlich leiteten die Cyber-Kriminellen ihre Opfer jedoch zu einer kompromittierten Seite, ‚połoniex.com’, um – beachten Sie das gefälschte „I“ – anstatt zu ,poloniex.com‘.“
   Die beiden Malware enthaltenden Apps seien zwar aus dem „Google Play-Store“ entfernt worden, doch bereits einen Monat später hätten Forscher von Check Point eine neue Version gefunden – wieder als „Poloniex“-App getarnt. Diesmal hätten es die Angreifer geschafft, sich mit einem „@poloniex.com“-Account zu registrieren. Diese Malware sei vom „Play Store“ nach einer Meldung von Check Point an Google entfernt worden.
   Zu diesem Zeitpunkt sei diese App allerdings bereits über 10.000 Mal heruntergeladen worden. Der mobilen Malware sei es sogar gelungen, in Apples „App Store“ einzudringen. Ein ähnlicher Malware-Typ habe dort versucht, die Nutzer dazu zu bringen, der App Zugriff auf ihre Kontodaten und Authentifikationen zu gewähren. „Die Malware wurde, nachdem besorgte Nutzer die verdächtige Aktivität gemeldet hatten, entfernt“, berichtet Schnabel. Dennoch werde klar, dass kein App-Store vor mobiler Malware sicher sei.

Weitere Informationen zum Thema:

datensicherheit.de, 25.03.2018
Digitale Taschendiebe: ComboJack-Malware stiehlt Kryptowährungen