Aktuelles, Branche - geschrieben von dp am Donnerstag, September 20, 2018 16:41 - noch keine Kommentare
WhatsApp: Spyware-App für Android liest Nachrichten aus
„Android.Trojan-Spy.Buhsam.A“ kann sogar Smartphonekamera übernehmen
[datensicherheit.de, 20.09.2018] G DATA meldet, dass eine vermutlich noch in der Entwicklung befindliche Spyware für „Android“-Smartphones zahlreiche private Informationen von einem Smartphone kopieren und „Whatsapp“-Chats auslesen kann. G DATA hat nach eigenen Angaben diese Malware analysiert.
Meldung „Service Started“ auf dem Bildschirm
Smartphone-Nutzer des „Android“-Betriebssystem sollten jetzt vorsichtig sein, denn eine neue Malware für mobile Telefone sei im Umlauf und lese die Nachrichten und Kontakte der betroffenen Nutzer aus. Die Schadsoftware „Android.Trojan-Spy.Buhsam.A“ könne darüber hinaus die Kamera übernehmen.
Nach Ansicht der Sicherheitsforscher bei G DATA ist diese Malware derzeit entweder noch in der Entwicklungsphase oder schlecht programmiert: Denn nachdem die entsprechenden Dienste gestartet werden, erhielten Nutzer eine Benachrichtigung mit dem Inhalt „Service Started“. Kriminelle versuchten normalerweise, so versteckt wie möglich zu agieren, um ihre Spuren zu verwischen.
Immer wieder gelange noch in Entwicklung befindliche Malware versehentlich in den Umlauf, etwa weil die Autoren auf Webseiten wie „Virustotal“ überprüften, ob ihre Schadsoftware von Virenscannern erkannt wird.
Malware mit einigen besonderen Funktionen
Diese Schadsoftware baue die Verbindung mit dem Command-and-Control-Server nicht über eine normale HTTP-Verbindung auf, sondern nutze stattdessen die sogenannten Websockets. Verbindungen über Websockets könnten ohne Probleme über eine längere Zeit aufrechterhalten werden, anders als klassische HTTP-Verbindungen. Für die Autoren der Malware sinke damit der Aufwand bei der Kommunikation mit dem Smartphone des Opfers. Außerdem entfalle die Übermittlung sogenannter Header-Dateien – deswegen werde bei jeder Verbindung mit dem Server weniger Datenvolumen verbraucht. Das könne einer Malware bei der Tarnung helfen, weil Nutzer keinen verdächtig hohen Verbrauch an Daten hätten.
Die Malware könne zudem zahlreiche verschiedene Module laden – je nachdem, welche Informationen auf einem Smartphone vorhanden sind. So könne die gesamte „Whatsapp“-Datenbank ausgelesen werden. Diese werde dann an den Server der Angreifer gesendet und mit einer eindeutigen Nutzerkennzeichnung versehen.
Der Command&Control-Server könne außerdem die Inhalte der Browser-Historie anfordern. Dazu werde eine Anfrage nach einem JSON-Objekt an das Smartphone gesendet. Derzeit würden dabei aber nur die gespeicherten Lesezeichen der Nutzer übertragen und nicht die komplette Historie. Das deutet laut G DATA ebenfalls daraufhin, dass sich die Malware noch in der Entwicklung befindet. Ebenso könnten die Kontakte des Nutzers an den Server der Angreifer übertragen werden.
Weitere Informationen zum Thema:
G DATA, September 2018
Whitepaper 2018 – paper 05 G DATA Software AG | Analysis of Android.Trojan-Spy.Buhsam.A
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren