Aktuelles, Branche - geschrieben von dp am Donnerstag, April 11, 2024 9:35 - noch keine Kommentare
Gefälschte Messenger-Apps: Hacker griffen gezielt Menschen in Südasien an
Masche dieser Hacker-Gruppe: Gefälschte Messenger-Apps, die funktionieren, aber Schadcode enthalten und sensible Daten stehlen
[datensicherheit.de, 11.04.2024] ESET-Forscher haben nach eigenen Angaben eine Cyber-Spionagekampagne entdeckt, welche demnach „Android“-Nutzer in Südasien – vor allem in Indien und Pakistan – ins Visier nahm. Die Masche dieser Hacker-Gruppe laut ESET: „Gefälschte Messenger-Apps, die zwar funktionieren, gleichzeitig aber Schadcode enthalten und sensible Daten stehlen.“ Mit dieser Attacke habe die bis dato unbekannte und von ESET „Virtual Invaders“ genannte Hacker-Gruppe gezielt „Android“-Nutzer in der Region ausspioniert. „Virtual Invaders“ sei von November 2021 bis Ende 2023 aktiv gewesen und habe die Fake-Apps über spezielle Webseiten und auf „Google Play“ verbreitet. „Es kommt immer wieder vor, dass Cyber-Kriminelle funktionierende Apps programmieren und veröffentlichen, um an Daten von Nutzern zu gelangen“, erläutert ESET-Forscher Lukas Stefanko, der Entdecker dieser Hacker-Kampagne. Seine Empfehlung: „Nutzer sollten sich bei ihren Messenger-Apps auf die gängigen Anbieter verlassen und vor allem davon absehen, Anwendungen aus unseriösen Quellen herunterzuladen.“
Hacker verbreiteten zahlreiche Fake-Apps mit weitreichenden Rechten
Die Apps seien äußerlich nicht von legitimen Messengern zu unterscheiden gewesen. „Schaute man allerdings unter die Haube, ergab sich ein anderes Bild: Alle Apps enthielten den Open-Source-Schadcode ,Android XploitSPY RAT’. Dieser beliebte Code ermöglicht Hackern, Kontaktlisten und Dateien zu extrahieren, den GPS-Standort des Geräts auszulesen und die Namen bestimmter Ordner herauszufinden.“
Hierzu hätten Verzeichnisse wie der Kamera- und Downloads-Ordner sowie anderen Messaging-Apps, z.B. „Telegram“ und „WhatsApp“ gehört. „Hatten die Hacker eine interessant klingende Datei gefunden, reichte ein Befehl vom Command-and-Control-Server (C&C), um sie zu extrahieren.“
Darüber hinaus hätten die Fake-Apps betroffene Smartphones in regelrechte Wanzen verwandelt: Auf Befehl der Hacker hin hätten die Anwendungen auf Kameras und Mikrofone der Geräte zugegriffen, um ihre Umgebung auszuhorchen.
„Interessanterweise ist die Implementierung der in ,XploitSPY’ integrierten Chat-Funktion einzigartig; wir gehen deshalb davon aus, dass diese Chat-Funktion von der ,Virtual Invaders’-Gruppe entwickelt wurde“, berichtet Stefanko.
Hacker konnten Malware vor Sicherheitstools verstecken
Die Malware verwende eine systemeigene Bibliothek, die häufig bei der Entwicklung von „Android“-Apps zur Verbesserung der Leistung und zum Zugriff auf Systemfunktionen eingesetzt werde. In diesem Fall werde die Bibliothek jedoch verwendet, um sensible Informationen zu verbergen, wie z.B. die Adressen der C&C-Server, wodurch es für Sicherheitstools schwieriger werde, die App zu analysieren. Die Hacker-Kampagne habe sich im Laufe der Jahre weiterentwickelt und umfasse nun auch Verschleierung, Emulatorerkennung und das Verstecken von C&C-Adressen.
„Google Play“ habe die betroffenen Apps – „Dink Messenger“, „Sim Info“ und „Defcom“ – nach ihrer Entdeckung entfernt. Darüber hinaus habe ESET als Partner der „Google App Defense Alliance“ zehn weitere Apps identifiziert, welche auf Code von „XploitSPY“ basierten und Google darüber informiert, woraufhin diese ebenso entfernt worden seien.
„Alle schadhaften Apps wiesen nur eine geringe Anzahl von Installationen auf. Dies deutet eher auf einen gezielten Ansatz als eine breit angelegte Strategie hin.“ Insgesamt hätten rund 380 Nutzer die Apps von Websites und aus dem „Google Play Store“ heruntergeladen und Konten erstellt, um die Nachrichtenfunktionen zu nutzen. Aufgrund des gezielten Charakters der Hacker-Kampagne sei die Anzahl der Installationen der einzelnen Apps von „Google Play“ relativ gering: Sie liege zwischen null und 45.
Weitere Informationen zum Thema:
welivesecurity by eseT, Lukas Stefanko, 10.04.2024
ESET Research / eXotic Visit campaign: Tracing the footprints of Virtual Invaders
Aktuelles, Experten - Jul 25, 2024 16:32 - noch keine Kommentare
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
weitere Beiträge in Experten
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
- Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024
Aktuelles, Branche - Jul 26, 2024 1:00 - noch keine Kommentare
Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
weitere Beiträge in Branche
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
- Vielfältige Cyber-Bedrohungen rund um die Olympischen Spiele 2024
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren