[datensicherheit.de, 25.05.2019] Die Kryptowährung Bitcoin hat derzeit ihren höchsten Stand seit September 2018 erreicht. Diesen Aufschwung haben auch Cyberkriminelle bemerkt und verstärken ihre Aktivitäten in diesem Bereich. ESET Forscher haben in Google Play gefälschte und schädliche Apps für Kryptowährungen entdeckt. Ein Beispiel ist eine Anwendung, die sich als Software-Gegenstück der bekannten Hardware-Wallet Trezor ausgibt. Bei der Analyse dieser Anwendung stießen die Forscher auf eine weitere betrügerische und noch gefährlichere Kryptowährungs-Wallet-App namens „Coin Wallet“, die Benutzer um ihr Geld bringen soll. ESET hat nach eigenen Angaben beide Apps an Google gemeldet und diese wurden bereits entfernt.

 „Der Bitcoin-Aufschwung sorgt auch für zunehmende Aktivitäten von Cyberkriminellen. Besonders bedrohlich ist die Anwendung ‚Coin Wallet‘, die angeblich Wallets für verschiedene Kryptowährungen erstellt“, erklärt Lukas Stefanko, ESET Malware-Forscher. „Der eigentliche Zweck der App besteht aber darin, das virtuelle Geld in die digitalen Portemonnaies der Kriminellen zu übertragen.“

Benutzer sollten um Login-Daten und Kryptowährungen betrogen werden

Sowohl die App „Trezor“ als auch „Coin Wallet“ ähneln sich im Programmiercode und bei den Oberflächen. „Coin Wallet“ war bereits seit Februar 2019 bei Google Play erhältlich. Die Anwendung behauptet Wallets für verschiedene Kryptowährungen zu generieren. Fallen Nutzer darauf hinein, füllen sie allerdings nur die Taschen der Kriminellen.

Die Anwendung, die sich als mobile Wallet für Trezor ausgibt, wurde am 1. Mai 2019 bei Google Play hochgeladen. Zum Zeitpunkt der Analyse durch die ESET Forscher war die Fake App sogar das zweitbeliebteste Ergebnis bei der Suche nach „Trezor“ im Store, direkt hinter der offiziellen, legitimen Anwendung. Die gefälschte App wurde für den Diebstahl von Anmeldeinformationen verwendet. Nach der Meldung der beiden Apps durch die ESET Forscher wurden diese aus Google Play entfernt.

Tipps der ESET Experten für mehr Sicherheit bei Kryptowährungen

• Benutzer, die kryptowährungsbezogene Banking- und andere Finanz-Apps nutzen, sollten nur die Anwendungen einsetzen, die auf der offiziellen Webseite des jeweiligen Dienstes verlinkt sind.
• Sensible Daten sollten in Online-Formularen nur dann eingegeben werden, wenn Anwender von der Sicherheit und Legitimität überzeugt sind.
• Ob Smartphone, Tablet oder PC, das jeweilige Gerät sollte immer auf dem aktuellen Stand gehalten und Sicherheitsupdates zeitnah eingespielt werden.
• Eine Sicherheitslösung gehört auch auf Smartphone und Tablet zur Grundaustattung. Eine Security-App blockiert und entfernt Bedrohungen und sollte nützliche Funktionen bieten wie einen Diebstahl-Schutz oder eine App-Sperre.

Weitere Informationen zum Thema:

WeLiveSecurity
Fake cryptocurrency apps crop up on Google Play as bitcoin price rises

datensicherheit.de, 21.05.2019
Kryptowährungen und künstliche Intelligenz: Zweite Ausgabe des Deutsch-Französischen IT-Sicherheitslagebilds

datensicherheit.de, 13.05.2019
ESET Sicherheitswarnung: Sicherheitslücke in WhatsApp zwingt Nutzer zum Eingreifen

datensicherheit.de, 27.06.2018
Cyber-Kriminelle nutzen Hype um Kryptowährungen

[datensicherheit.de, 09.02.2019] Experten aus dem Hause ESET haben nach eigenen Angaben die erste sogenannte Clipper-Malware im „Google Play Store“ entdeckt. Dieser Schädling ist demnach für Besitzer der Kryptowährungen Bitcoin und Ethereum besonders gefährlich, denn er könnte den Inhalt der Zwischenablage auf den genutzten „Android“-Geräten verändern und Transaktionen umleiten. Erstmals sei es Cyber-Kriminellen gelungen, den Zwischenspeicher auf „Android“-Smartphones und -Tablets zu manipulieren. Hierdurch sei es den „mobilen Bankräubern“ gelungen, Finanztransaktionen mit Kryptowährungen umzuleiten.

Bequemlichkeit der Benutzer von Kryptowährungen ausgenutzt

„,Clipper‘-Malware ist nicht mehr länger nur ein Problem von ,Windows‘-Anwendern oder dubiosen ,Android‘-Foren. Jetzt betrifft das Problem auch den durchschnittlichen ,Android‘-Anwender“, sagt ESET-Malware-Forscher Lukáš Štefanko.
Der von ESET als „Android/Clipper.C“ erkannte, neue Schädling nutze die Bequemlichkeit der Benutzer von Kryptowährungen aus. Diese gäben für Währungstransfers selten manuell die komplexen „Wallet“-Adressen ein, sondern kopierten diese häufig. Dadurch würden sie kurzzeitig in der Zwischenablage des Betriebssystems abgelegt – die Malware könne dort die Adresse einfach austauschen.

„Clipper“-Malware erstmals 2017 auf „Windows“-Betriebssystemen aufgetaucht

„Clipper“-Malware sei das erste Mal 2017 auf „Windows“-Betriebssystemen aufgetaucht. ESET-Forscher hätten bereits 2018 nachweisen können, dass es drei solcher Schädlinge bis zu „download.cnet.com“ geschafft hätten – einer der beliebtesten Download-Plattformen weltweit.
Im August 2018 sei der erste „Android Clipper“ überhaupt in Untergrundforen entdeckt worden. Seitdem sei diese Art Malware in mehreren zweifelhaften App-Stores aufgetaucht.

Nach Meldung durch ESET „Clipper“ aus „Google Play Store“ entfernt

„Android“-Nutzer, die ihre Downloads ausschließlich aus dem „Google Play Store“ beziehen, schienen bis 2019 davor sicher zu sein. Dies ändere sich nun, nachdem ESET-Forscher die Schadsoftware in Googles offiziellem Store hätten nachweisen können.
„Zum Glück haben wir den ,Clipper‘ bereits kurz nach seinem Upload in den Store entdeckt. Wir haben den Sachverhalt dem ,Google Play Security‘-Team gemeldet, welches kurz daraufhin die App entfernte“, berichtet Lukáš Štefanko.

Malware ahmt legitimen Dienst „MetaMask“ nach

Die jetzt entdeckte Malware ahme einen legitimen Dienst namens „MetaMask“ nach. Dieser ermögliche es, dezentrale Ethereum-Anwendungen im Browser auszuführen. Dazu sei es nicht notwendig, einen vollen Ethereum-Knoten zu betreiben. Der Dienst werde dazu als Add-On für „Chrome“ und „Firefox“ angeboten. Eine mobile App existiere nicht.
„Es scheint eine rege Nachfrage nach einer mobilen Version von ,MetaMask‘ zu geben. Das nutzen Cyber-Kriminelle aus, indem sie ihren Schadcode entsprechend verkleiden“, warnt Štefanko.

Opfer selbst senden Angreifern unfreiwillig „Wallet“-Adresse zu

Die gefundene Malware habe es auf die Bitcoin- und Ethereum-Werte seiner Opfer abgesehen. Dazu blende sie lediglich ein gefälschtes Formular ein. In dieses solle der Anwender seine „Wallet“-Adresse eingeben und somit den Angreifern zugänglich machen.
„Mit einem installierten ,Clipper‘ könnte es gar nicht leichter sein, digitale Werte zu stehlen. Es sind die Opfer selbst, die diese den Angreifern unfreiwillig zuschicken“, erklärt Štefanko.

IT-Sicherheits-Grundregeln beachten!

Diese erste Entdeckung von „Clipper“-Malware im „Google Play Store“ verdeutliche einmal mehr die Notwendigkeit, dass „Android“-Nutzer sich mit den IT-Sicherheits-Grundregeln beschäftigen sollten. Um sich vor „Clipper“ und anderer Malware zu schützen, raten die ESET-Experten:

• „Android“ immer aktuell halten und eine vertrauenswürdige Schutz-App installieren.
• Apps nur aus dem „Google Play Store“ laden.
• …aber vorher sicherheitshalber die Webseite des App-Anbieters überprüfen, die in der Beschreibung der App verlinkt sein sollte – existiert keine Webseite, sollten Sie das Angebot meiden.
• Jeden Schritt bei der Übertragung von sensiblen Informationen und Werten überprüfen – beim Verwenden der Zwischenablage sollte gecheckt werden, ob die ausgefüllten Daten auch den gewollten entsprechen.

Weitere Informationen zum Thema:

welivesecurity BY eset, Lukas Stefanko, 08.02.2019
Erste Clipper-Malware bei Google Play entdeckt

datensicherheit.de, 13.10.2018
ESET: Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

[datensicherheit.de, 01.08.2018] Palo Alto Networks, meldet mehrfach eine Reihe von Google-Spiele-Apps, die mit schädlichen Iframes infiziert sind. Nun melden die IT-Sicherheitsexperten  ähnliche Fälle bei Google Play. Es handelt sich um 145 Google Play-Anwendungen, die mit schädlichen Microsoft Windows-Executable-Dateien infiziert sind.

Schadprogramme auf Android-Systemen unwirksam

Die infizierten APK-Dateien (Android Package) stellen keine direkte Bedrohung für Android-Geräte dar, da diese eingebetteten ausführbaren Windows-Binärdateien nur auf Windows-Systemen ausgeführt werden können. Auf der Android-Plattform sind sie unwirksam. Die Tatsache, dass diese APK-Dateien infiziert sind, zeigt, dass die Entwickler die Software auf kompromittierten Windows-Systemen erstellt haben, die mit Malware infiziert sind. Diese Art der Infektion ist eine Bedrohung für die Softwarelieferkette (Software Supply Chain), da sich die Kompromittierung von Softwareentwicklern mehrfach schon als effektive Taktik für groß angelegte Angriffe erwiesen hat. Beispiele hierfür sind KeRanger, XcodeGhost und NotPetya.

Mitarbeiter von Palo Alto Networks entdeckten eine Mischung aus infizierten und nicht infizierten Anwendungen derselben Entwickler. Der Grund dafür könnte sein, dass die Entwickler unterschiedliche Entwicklungsumgebungen für verschiedene Anwendungen verwendet haben.

Einige der infizierten Apps sind „Learn to Draw Clothing“, eine App, die das Zeichnen und Entwerfen von Kleidung beibringt, „Modification Trail“, eine App, die Ideen für die Modifizierung von Trailbikes zeigt und „Gymnastics Training Tutorial“, eine App für Gymnastikbewegungen. Unter diesen infizierten Anwendungen kann eine APK-Datei mehrere gefährliche PE-Dateien an verschiedenen Orten mit unterschiedlichen Dateinamen enthalten.

Die Experten fanden heraus, dass es eine PE-Datei (Portable Executable) gibt, die die meisten Android-Anwendungen infiziert. Die bösartige Aktivität ist die Schlüsselprotokollierung.  Auf einem Windows-System versucht ein Keylogger, Tastenanschläge zu protokollieren, die sensible Informationen wie Kreditkartennummern, Sozialversicherungsnummern und Passwörter enthalten können. Außerdem täuschen diese Dateien ihre Namen vor, um Legitimität vorzutäuschen. Solche Namen sind „Android.exe“, „my music.exe“, „COPY_DOKKEP.exe“, „js.exe“, „gallery.exe“, „images.exe“, „msn.exe“ und „css.exe“.

Während der WildFire-Analyse von Palo Alto Networks zeigten die untersuchten bösartigen PE-Dateien die folgenden verdächtigen Aktivitäten, wenn sie auf einem Windows-System ausgeführt werden:

• Erstellung von ausführbaren und versteckte Dateien in Windows-Systemordnern, einschließlich des Kopierens der PE-Datei selbst.
• Änderung der Windows-Registrierung, damit die PE-Datei nach dem Neustart automatisch startet.
• Versuche, über einen längeren Zeitraum zu ruhen.
• Verdächtige Netzwerkverbindungsaktivitäten zur IP-Adresse 87.98.185.184 über Port 8829

Die schädlichen PE-Dateien können nicht direkt auf den Android-Hosts ausgeführt werden. Eine Bedrohung besteht jedoch in folgenden Fällen: wenn die APK-Datei auf einem Windows-Rechner entpackt wird und die PE-Dateien versehentlich ausgeführt werden; wenn die Entwickler auch Windows-basierte Software ausgeben; oder wenn die Entwickler mit bösartigen Dateien infiziert sind, die auf Android-Plattformen ausgeführt werden können.

Das Unternehmen hat seine Erkenntnisse dem Google Security Team gemeldet, welches als Reaktion alle bekannten infizierten Anwendungen mittlerweile aus Google Play entfernt hat.

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2017
Malware im Google Play Store entdeckt

datensicherheit.de, 01.06.2017
Judy: Check Point meldet Malware-Entdeckung im Google Play Store

[datensicherheit.de, 21.04.2017] Der Schaden, den mobile Schadsoftware in Unternehmen anrichten kann, wird nach Angaben von TREND MICRO immer umfassender, denn Mobilgeräte werden zur beliebtesten Plattform für den flexiblen Zugriff und die Verwaltung von Daten.

Die Sicherheitsforscher von TREND MICRO haben nach eigenen Angaben kürzlich 200 verschiedene „Android“-Apps gefunden, welche eine Backdoor beinhalteten sollen: „MilkyDoor“ (ANDROIDOS_MILKYDOOR.A).

„MilkyDoor“ als Nachfolger von „DressCode“ bringe ein paar neue eigene bösartige Tricks mit. Dazu zählten die versteckten Routinen, die es ermöglichten, Sicherheitsbeschränkungen zu umgehen und die eigenen bösartigen Aktivitäten im normalen Netzwerkverkehr zu verbergen.

Die mit einem Trojaner versehenen Apps tarnten sich als Freizeitanwendung, von „Style Guides“ und Kinderbüchern bis zu „Doodle“-Anwendungen. Vermutlich handele es sich dabei um legitime Apps, welche die Cyber-Kriminellen umpaketiert und mit Trojaner versehen hätten, um sie dann wieder in „Google Play“ zu veröffentlichen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.10.2016
TREND MICRO will auch Privatanwendern Schutz gegen Erpressersoftware bieten

[datensicherheit.de, 17.02.2015] Android-Versionen 4.3 und ältere bleiben nach Angaben von Check Point Software Technologies GmbH unsicher. Bis dato zählen Sicherheitsexperten elf bekannte, nicht-behobene Sicherheitslücken in dem weitverbreiteten Betriebssystem für mobile Geräte. Im jüngsten Fall fanden Hacker eine Schwachstelle im Google Play Store: Die Webversion des Dienstes ermöglicht Angreifern das Installieren und Starten von Apps – ohne Wissen des Nutzers.

Google habe die Sicherheitslücke durch Blockieren des Zugangs von älteren Versionen der Webversion nur provisorisch behoben. Ob Google einen „echten“ Fix für das Problem anbieten werde, bleibe fraglich. Bereits letzte Woche kündigte das Unternehmen an, eine Lücke im Android-Browser nicht mehr zu patchen. Nutzer von älteren Betriebssystemen sollten auf andere Browser umsteigen, da eine Behebung nicht mehr lohnenswert sei.

OpenSource-Betriebssysteme tragen durch ihre offenen Quellcodes ein höheres Sicherheitsrisiko in sich, so Check Point. Gleichzeitig sei ihre einfache Verfügbarkeit der Grund für ihren Erfolg und ihre Beliebtheit. Bei Angestellten in Unternehmen seien sie ebenfalls weit verbreitet. Im modernen Arbeitsalltag griffen die mobilen Geräte häufig auf Geschäftsnetzwerke zu und ermöglichten flexibles, effizientes Arbeiten. Zeitgleich seien sie durch den eingeschränkten Support sowie aufgrund der vielen bekannten und unbekannten Sicherheitsprobleme ein Risiko.

Unternehmen müssten solche Geräte in ihre Sicherheitsstrategie miteinbeziehen. Klassische Mobile Device Management (MDM)-Lösungen seien indes nicht mehr ausreichend, da eine Sicherheitslösung zwischen Geschäftsdaten und persönliche Apps unterscheiden müsse. Eine komplette Verwaltung von privaten Geräten von Mitarbeitern sei nicht mehr zeitgemäß.

Jedes Gerät ist als Endpunkt eines Netzwerks anzusehen und aufgrund der immer tiefer greifenden Mobilität müsse ein Sicherheitskonzept eine global greifende Lösung liefern. Verdächtige Dateien, Zugang zu verseuchten Websites und schädliche Bots müssten blockiert werden. In der dynamischen Welt der digitalen Integration könnten Anwender sich nicht auf die Softwarehersteller alleine verlassen.

Firmen müssten ihre Sicherheitsperimeter erweitern. Befallene Mobilgeräte trügen Gefahren in Netzwerke und Clouds hinein. Unternehmen bräuchten eine Sicherheitslösung, die sicheren und schnellen Austausch sowie Zugriff auf Unternehmensdaten durch autorisierte Nutzer gewähre. Diese müsse unabhängig plattformunabhängig und einfach zu implementieren sein. Neue Endgeräte und bestehende Sicherheitsmechanismen dürften dabei nicht ausgenommen werden, sondern seien wichtige Bauteile einer sicheren Infrastruktur.

Jede Schwachstelle in einem Mobilgerät sei eine offene Tür für Cyber-Kriminelle. Regelmäßige Logs und die zentrale Verwaltung von Ereignissen seinötig, um Sicherheitsrichtlinien anzupassen und durchzusetzen. Malware könne über jedes SmartPhone oder Tablet in ein Unternehmen eingeschleust werden. Unternehmen benötigten daher einen ganzheitliche Lösungsansatz, der sich an ihre Bedürfnisse anpasse.

[datensicherheit.de, 13.10.2013] Die Sicherheitslösung Kaspersky Security for Mobile sorgt nach Angaben des Herstellers für einen noch besseren Schutz der im Unternehmen eingesetzten mobilen Geräte. Mitarbeiter wie Firmen profitieren von einer besseren Leistungsfähigkeit und neuen Funktionen wie zum Beispiel eine Benachrichtigung über Roaming oder automatische WLAN-Profile für Android. Die aktuellen Client-Versionen für Smartphones und Tablets unter Android und iOS gibt es ab sofort bei Google Play und im Apple App Store.

Kaspersky Security for Mobile sorgt für die schnelle und sichere Integration von mobilen Geräten in das Unternehmensnetzwerk. Geschäftliche Daten werden damit zuverlässig geschützt. Im Fall von Verlust oder Diebstahl von Geräten der Mitarbeiter können diese aus der Ferne blockiert und die darauf befindlichen Unternehmensdaten gelöscht werden.

Benachtichtigung für Roaming bei Android-Geräten

Zu den neuen Funktionen von Kaspersky Security for Mobile gehört eine automatische Benachrichtigung für Roaming bei Android-Geräten. Wann immer Mitarbeiter ihre Smartphones oder Tablets in einem fremden Netz nutzen wollen, wird ein Administrator über die Kaspersky Lösung benachrichtigt und kann über das Kaspersky Security Center Maßnahmen zur Kostenbegrenzung ergreifen. Dazu zählt etwa die Umschaltung auf einen günstigeren Tarif oder die Eingrenzung von Synchronisationsintervallen.

Weiterhin erlaubt die neue Lösung nun auch für Android-Geräte eine automatische Konfiguration des Zugriffs auf das WLAN-Unternehmensnetz. Durch die neue Funktion, die zuvor nur für iOS-Geräte verfügbar war, werden Netzwerkname und Passwort automatisch mitgeteilt, was die Integration der Geräte in das Firmennetzwerk beschleunigt und erleichtert. Entsprechende Anfragen beim technischen Support entfallen und das Unternehmen spart IT-Kosten.

„Wir haben versucht, in die neue Version von Kaspersky Security for Mobile so viel Funktionalität wie möglich zu packen, und gleichzeitig die Handhabung des Produkts verbessert“, erklärt Nikolay Grebennikov, Chief Technology Officer bei Kaspersky Lab. „Installation und Update wurden vereinfacht, und Unternehmen haben mit der Roaming-Benachrichtigung gleichzeitig mehr Kontrolle über die Kosten ihrer mobilen Kommunikation.“

Weitere Neuerungen für Android und iOS

Geschäftliches und Privates auf den Android- und iOS-Geräten der Mitarbeiter lässt sich mit Kaspersky Security for Mobile stärker trennen. Firmendaten werden so besser geschützt. Außerdem wurde ein neues System für die Wiederherstellung von Passwörtern integriert. Administratoren können damit den Mitarbeitern bei der Rekonstruktion gestohlener oder vergessener Passwörter helfen.

Die Lösung ist Bestandteil von Kaspersky Endpoint Security for Business. Kaspersky Security for Mobile lässt sich aber auch separat beziehen und in andere bereits vorhandene Sicherheitslösungen des Unternehmens integrieren.

Weitere Informationen zum Thema:

Kasperky lab
Kaspersky Endpoint Security for Business

[datensicherheit.de, 16.03.2012] Nur kurz nach der Namensänderung des „Android Market“ in „Google Play“ hat TREND MICRO nach eigenen Angaben die ersten gefälschten „Google Play“-Websites entdeckt:
Besitzer von „Android“-Geräten, die auf den Trick hereinfallen, handelten sich in dem eben entdeckten Fall hohe Rechnungen von ihrem Telekommunikationsanbieter ein, denn die Opfer abonnierten ohne ihre Zustimmung teure Bezahldienste.
Der Trick der Cyber-Kriminellen, beliebte Websites täuschend echt nachzuahmen, sei kein neuer, aber dafür eine sehr effektive Betrugsmethode. TREND MICROD rät daher, Webadressen immer genau zu prüfen und bei der kleinsten Unsicherheit auf das Klicken zu verzichten. Um sich vor dieser Angriffstaktik zu schützen, sollten Anwender die Adressen beliebter und häufig besuchter Webseiten entweder manuell eingeben oder ihren Favoriten im Browser hinzufügen.
Anwender, die befürchten, dass ihr „Android“-Gerät durch bösartige mobile Apps infiziert sei, könnten mit dem kostenlosen App-Scanner von TREND MICRO die Schädlinge entdecken und entfernen – „HouseCall Mobile“ ist als kostenloser Bestandteil der Sicherheitslösung „Trend Micro Mobile Security for Android – Personal Edition“ erhältlich.

Weitere Informationen zum Thema:

blog.trendmicro.de
Betrügerische Google Play Site führt zu bösartigen Apps / Originalartikel von Karla Agregado, Fraud Analyst