[datensicherheit.de, 11.04.2024] ESET-Forscher haben nach eigenen Angaben eine Cyber-Spionagekampagne entdeckt, welche demnach „Android“-Nutzer in Südasien – vor allem in Indien und Pakistan – ins Visier nahm. Die Masche dieser Hacker-Gruppe laut ESET: „Gefälschte Messenger-Apps, die zwar funktionieren, gleichzeitig aber Schadcode enthalten und sensible Daten stehlen.“ Mit dieser Attacke habe die bis dato unbekannte und von ESET „Virtual Invaders“ genannte Hacker-Gruppe gezielt „Android“-Nutzer in der Region ausspioniert. „Virtual Invaders“ sei von November 2021 bis Ende 2023 aktiv gewesen und habe die Fake-Apps über spezielle Webseiten und auf „Google Play“ verbreitet. „Es kommt immer wieder vor, dass Cyber-Kriminelle funktionierende Apps programmieren und veröffentlichen, um an Daten von Nutzern zu gelangen“, erläutert ESET-Forscher Lukas Stefanko, der Entdecker dieser Hacker-Kampagne. Seine Empfehlung: „Nutzer sollten sich bei ihren Messenger-Apps auf die gängigen Anbieter verlassen und vor allem davon absehen, Anwendungen aus unseriösen Quellen herunterzuladen.“

Hacker verbreiteten zahlreiche Fake-Apps mit weitreichenden Rechten

Die Apps seien äußerlich nicht von legitimen Messengern zu unterscheiden gewesen. „Schaute man allerdings unter die Haube, ergab sich ein anderes Bild: Alle Apps enthielten den Open-Source-Schadcode ,Android XploitSPY RAT’. Dieser beliebte Code ermöglicht Hackern, Kontaktlisten und Dateien zu extrahieren, den GPS-Standort des Geräts auszulesen und die Namen bestimmter Ordner herauszufinden.“

Hierzu hätten Verzeichnisse wie der Kamera- und Downloads-Ordner sowie anderen Messaging-Apps, z.B. „Telegram“ und „WhatsApp“ gehört. „Hatten die Hacker eine interessant klingende Datei gefunden, reichte ein Befehl vom Command-and-Control-Server (C&C), um sie zu extrahieren.“

Darüber hinaus hätten die Fake-Apps betroffene Smartphones in regelrechte Wanzen verwandelt: Auf Befehl der Hacker hin hätten die Anwendungen auf Kameras und Mikrofone der Geräte zugegriffen, um ihre Umgebung auszuhorchen.

„Interessanterweise ist die Implementierung der in ,XploitSPY’ integrierten Chat-Funktion einzigartig; wir gehen deshalb davon aus, dass diese Chat-Funktion von der ,Virtual Invaders’-Gruppe entwickelt wurde“, berichtet Stefanko.

Hacker konnten Malware vor Sicherheitstools verstecken

Die Malware verwende eine systemeigene Bibliothek, die häufig bei der Entwicklung von „Android“-Apps zur Verbesserung der Leistung und zum Zugriff auf Systemfunktionen eingesetzt werde. In diesem Fall werde die Bibliothek jedoch verwendet, um sensible Informationen zu verbergen, wie z.B. die Adressen der C&C-Server, wodurch es für Sicherheitstools schwieriger werde, die App zu analysieren. Die Hacker-Kampagne habe sich im Laufe der Jahre weiterentwickelt und umfasse nun auch Verschleierung, Emulatorerkennung und das Verstecken von C&C-Adressen.

„Google Play“ habe die betroffenen Apps – „Dink Messenger“, „Sim Info“ und „Defcom“ – nach ihrer Entdeckung entfernt. Darüber hinaus habe ESET als Partner der „Google App Defense Alliance“ zehn weitere Apps identifiziert, welche auf Code von „XploitSPY“ basierten und Google darüber informiert, woraufhin diese ebenso entfernt worden seien.

„Alle schadhaften Apps wiesen nur eine geringe Anzahl von Installationen auf. Dies deutet eher auf einen gezielten Ansatz als eine breit angelegte Strategie hin.“ Insgesamt hätten rund 380 Nutzer die Apps von Websites und aus dem „Google Play Store“ heruntergeladen und Konten erstellt, um die Nachrichtenfunktionen zu nutzen. Aufgrund des gezielten Charakters der Hacker-Kampagne sei die Anzahl der Installationen der einzelnen Apps von „Google Play“ relativ gering: Sie liege zwischen null und 45.

Weitere Informationen zum Thema:

welivesecurity by eseT, Lukas Stefanko, 10.04.2024
ESET Research / eXotic Visit campaign: Tracing the footprints of Virtual Invaders

[datensicherheit.de, 24.12.2019] Laut einer Meldung des Sicherheitsnachrichtenseite „PreciseSecurity.com“ waren im dritten Quartal 2019 mehr als 50 Prozent der Mobilfunknutzer im Iran von mobilen Malware-Infektionen betroffen. Es gebe weitere Länder, in denen mehr als 25 Prozent der Mobilfunknutzer betroffen gewesen seien, darunter Bangladesch und Indien.

Malware-Infektionen: Iran an der Spitze

Laut diesem Bericht seien im dritten Quartal 2019 rund 52,68 Prozent der Mobilfunknutzer des Landes von Malware-Infektionen betroffen gewesen.
Dies sei ein „massiver Prozentsatz“ für ein Land, „wenn man bedenkt, dass die zweite Nation in der Liste, Bangladesch, mit 30,94 Prozent der Mobilfunknutzer betroffen war“.

29 Prozent der Mobilfunknutzer in Indien angegriffen

Darüber hinaus sei auch Indien betroffen. Dies sei umso beunruhigender, „wenn man bedenkt, dass dies die Nation mit der zweitgrößten Bevölkerung der Welt ist“:
28,75 Prozent der Mobilfunknutzer des Landes seien Opfer verschiedener Malware-Infektionen geworden.

Bankkonten, E-Mails und andere private Informationen zunehmend über Smartphones verwaltet

Diesem Problem müssten sich Sicherheitsunternehmen stellen – vor dem Hintergrund, „dass die Nutzer mit ihren Smartphones finanzielle und private Informationen verarbeiten“.
Heutzutage handhabten Einzelpersonen ihre Bankkonten, E-Mails und andere private Informationen wie z.B. die ID auf ihren Smartphones, „die ein heißes Ziel für Angreifer und Hacker werden“.

Weitere Informationen zum Thema:

ps precisesecurity.com, Justinas Baltrusaitis, 23.12.2019
Top 10 Countries by Most Mobile Malware Infections in the Q3 2019

datensicherheit.de, 05.09.2019
Android-Smartphones: Sicherheitslücke lädt zu SMS-Phishing ein

[datensicherheit.de, 23.09.2019] Hauseigene Sicherheitsexperten haben nach Angaben von kaspersky „ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde“. Diese Spyware – „Dtrack“ – stamme wohl von der „Lazarus“-Gruppe und werde zum Hoch- und Herunterladen von Dateien, zum Aufzeichnen von Tastenanschlägen und zum Ausführen weiterer Aktionen verwendet, die für ein böswilliges „Remote Admin Tool“ (RAT) typisch seien.

Funktionen der Dtrack-Malware weisen sie als Spionagetool aus

Im Jahr 2018 haben demnach kaspersky-Forscher die Malware „ATMDtrack“ entdeckt, welche Geldautomaten in Indien infiltriert und Karteninformationen von Kunden gestohlen habe. Nach weiteren Untersuchungen mit der „Kaspersky Attribution Engine“ und anderen Tools hätten die Forscher mehr als 180 neue Malware-Samples gefunden, deren Codesequenz Ähnlichkeiten mit „ATMDtrack“ aufgewiesen habe.
Diese zielten jedoch nicht auf Geldautomaten ab. Stattdessen wiesen die Funktionen der „Dtrack“-Malware sie als Spionagetool aus. Beide hätten Gemeinsamkeiten mit der Kampagne „DarkSeoul“ aus dem Jahr 2013, die „Lazarus“ zugeschrieben werde. Bei „Lazarus“ handelt es sich laut kaspersky um „eine berüchtigte Gruppe, die für mehrere Cyber-Spionage- und Cyber-Sabotageoperationen verantwortlich sein soll“.

Dtrack nutzt Sicherheitsschwächen der Opfer aus

„Dtrack“ könne als Fernwartungstool (RAT) verwendet werden, mit dem Angreifer die vollständige Kontrolle über infizierte Geräte erlangten. Cyber-Kriminelle könnten damit verschiedene Vorgänge ausführen wie zum Beispiel das Hoch- und Herunterladen von Dateien und das Ausführen von Schlüsselprozessen.
Von Bedrohungsakteuren mit „Dtrack“-RAT angegriffene Organisationen wiesen häufig schwache Netzwerksicherheitsrichtlinien und Passwörter auf. Außerdem seien sie nicht in der Lage, den Datenverkehr im Unternehmen zu verfolgen. Bei erfolgreicher Implementierung könne die Spyware alle verfügbaren Dateien und ausgeführten Prozesse, die Tastaturanschläge, den Browserverlauf und die Host-IP-Adressen aufführen – einschließlich Informationen zu verfügbaren Netzwerken und aktiven Verbindungen.

Angriffe zielen auch darauf ab, Geld zu stehlen

Basierend auf den Daten der kaspersky-Telemetrie sei die neuentdeckte Malware aktiv und werde noch für Cyber-Angriffe verwendet. „Lazarus ist eine eher ungewöhnliche nationalstaatlich geförderte Gruppe“, sagt Konstantin Zykov, Sicherheitsforscher des „Global Research und Analysis“-Teams bei kaspersky. Einerseits konzentriere sie sich wie viele ähnliche Gruppen auf die Durchführung von Cyber-Spionage- oder -sabotageoperationen. Andererseits sei auch festgestellt worden, dass sie Angriffe durchführe, die eindeutig darauf abzielten, Geld zu stehlen. Letzteres sei für einen so bekannten Bedrohungsakteur ziemlich einzigartig, da andere hochentwickelte Bedrohungsakteure im Allgemeinen keine finanziellen Beweggründe für ihre Operationen hätten.
Zykov führt aus: „Die zahlreichen ,Dtrack‘-Samples, die wir gefunden haben, zeigen, dass ,Lazarus‘ eine der aktivsten APT-Gruppen ist, die ständig Bedrohungen entwickelt und weiterentwickelt, um große Industrien anzugreifen. Ihre erfolgreiche Ausführung von ,Dtrack‘-RAT beweist, dass eine Bedrohung, auch wenn sie zu verschwinden scheint, in einer anderen Gestalt wieder auftauchen kann, um neue Ziele anzugreifen.“ Forschungszentrum oder Finanzorganisation, die ausschließlich im kommerziellen Bereich ohne staatliche Tochtergesellschaften tätig sind, sollten die Möglichkeit in Betracht ziehen, von einer hochentwickelten Bedrohung angegriffen zu werden und sich darauf vorbereiten, rät Zykov.

Weitere Informationen zum Thema:

kaspersky SECURELIST, Konstantin Zykov, 23.09.2019
Hello! My name is Dtrack

kaspersky SECURELIST, Juan Andrés Guerrero-Saade u. Costin Raiu (GReAT), 14.02.2016
Operation Blockbuster revealed / A glimpse at the spider web of the Lazarus Group APT campaigns

datensicherheit.de, 05.08.2019
DDoS-Angriffe: Neuer kaspersky-Bericht erschienen

datensicherheit.de, 04.04.2017
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert

[datensicherheit.de, 24.03.2016] TREND MICRO hat nach eigenen Angaben einen gezielten Angriff auf hochrangige Militärs in Indien aufgedeckt. Insgesamt hätten 160 Personen – neben Offizieren der indischen Armee unter anderem auch in Indien stationierte Militärattachés anderer Nationen – im Visier der Angreifer gestanden, welche es auf Informationen wie eingescannte Passdokumente, Photos und Steuerdaten, aber auch Dokumente zu Armeetaktiken und -strategien abgesehen hätten. Die Analyse der „Operation C-Major“ getauften Kampagne habe ergeben, dass die Angreifer von Pakistan aus operiert hätten.

Effektive „Social-Engineering“-Methoden

Die an der Aufdeckung beteiligten Forscher betonen, dass sich der Angriff vor allem durch die effektiven „Social-Engineering“-Methoden auszeichnet habe, denn eigentlich sollte man davon ausgehen, dass Offiziere für solche Fälle geschult sind. Ausgangspunkt des Angriffs seien wie bei vielen anderen gezielten Attacken auch gefälschte E-Mail-Nachrichten gewesen. So hätten sich die Angreifer in einer E-Mail als der indische Verteidigungsminister ausgegeben und mit dieser Nachricht einen ausländischen Militärattaché adressiert.

Erfolg trotz technischer Schwächen

Dass diese Methoden erfolgreich gewesen seien, gleiche auch die technischen Schwächen des Angriffs aus. So sei es für die Forscher kein Problem gewesen, die Befehls- und Kontrollserver zu lokalisieren und die angegriffenen Personen zu identifizieren. Demnach müssten zumindest einige der Angreifer aus Pakistan stammen; außerdem bestehe der Verdacht, dass von einem der verwendeten Server auch Angriffe auf Angehörige des indischen Militärs ausgingen, die Geräte auf „Android“-Basis nutzen.
Dass es sich bei dieser Kampagne um einen gezielten Angriff handelt, dafür sprächen der anvisierte Personenkreis, aber auch die erbeuteten, der Geheimhaltung unterliegenden Informationen. Beweise für eine direkte Verbindung zur pakistanischen Regierung gebe es indes nicht, so TREND MICRO.

Kontinuierliche Anwenderschulungen empfohlen

„Der Erfolg dieser Kampagne zeigt eindrucksvoll, dass Social Engineering eine der wichtigsten oder vielleicht sogar die wichtigste Komponente eines gezielten Angriffs darstellt“, betont Sicherheitsexperte Udo Schneider, Pressesprecher von TREND MICRO Deutschland. Selbst wenn eine Attacke und die eingesetzte Schadsoftware in technischer Hinsicht „eher banal“ seien, könne der Angriff sehr erfolgreich sein und technische Schutzmechanismen wie Sicherheitssoftware überwinden. Dies gelte leider im Grunde für alle Arten von Cyberbedrohungen. In Deutschland könnten hierfür die jüngsten Fälle mit eher gewöhnlicher Erpressersoftware oder Ransomware als Beleg dienen. Kontinuierliche Anwenderschulungen seien vor diesem Hintergrund wichtiger denn je, so Schneider.

Weitere Informationen zum Thema:

TREND MICRO – blog.trendmicro.de
Indisches Militärpersonal im Visier der “Operation C-Major”