Aktuelles, Branche - geschrieben von dp am Donnerstag, April 11, 2024 9:35 - noch keine Kommentare
Gefälschte Messenger-Apps: Hacker griffen gezielt Menschen in Südasien an
Masche dieser Hacker-Gruppe: Gefälschte Messenger-Apps, die funktionieren, aber Schadcode enthalten und sensible Daten stehlen
[datensicherheit.de, 11.04.2024] ESET-Forscher haben nach eigenen Angaben eine Cyber-Spionagekampagne entdeckt, welche demnach „Android“-Nutzer in Südasien – vor allem in Indien und Pakistan – ins Visier nahm. Die Masche dieser Hacker-Gruppe laut ESET: „Gefälschte Messenger-Apps, die zwar funktionieren, gleichzeitig aber Schadcode enthalten und sensible Daten stehlen.“ Mit dieser Attacke habe die bis dato unbekannte und von ESET „Virtual Invaders“ genannte Hacker-Gruppe gezielt „Android“-Nutzer in der Region ausspioniert. „Virtual Invaders“ sei von November 2021 bis Ende 2023 aktiv gewesen und habe die Fake-Apps über spezielle Webseiten und auf „Google Play“ verbreitet. „Es kommt immer wieder vor, dass Cyber-Kriminelle funktionierende Apps programmieren und veröffentlichen, um an Daten von Nutzern zu gelangen“, erläutert ESET-Forscher Lukas Stefanko, der Entdecker dieser Hacker-Kampagne. Seine Empfehlung: „Nutzer sollten sich bei ihren Messenger-Apps auf die gängigen Anbieter verlassen und vor allem davon absehen, Anwendungen aus unseriösen Quellen herunterzuladen.“
Hacker verbreiteten zahlreiche Fake-Apps mit weitreichenden Rechten
Die Apps seien äußerlich nicht von legitimen Messengern zu unterscheiden gewesen. „Schaute man allerdings unter die Haube, ergab sich ein anderes Bild: Alle Apps enthielten den Open-Source-Schadcode ,Android XploitSPY RAT’. Dieser beliebte Code ermöglicht Hackern, Kontaktlisten und Dateien zu extrahieren, den GPS-Standort des Geräts auszulesen und die Namen bestimmter Ordner herauszufinden.“
Hierzu hätten Verzeichnisse wie der Kamera- und Downloads-Ordner sowie anderen Messaging-Apps, z.B. „Telegram“ und „WhatsApp“ gehört. „Hatten die Hacker eine interessant klingende Datei gefunden, reichte ein Befehl vom Command-and-Control-Server (C&C), um sie zu extrahieren.“
Darüber hinaus hätten die Fake-Apps betroffene Smartphones in regelrechte Wanzen verwandelt: Auf Befehl der Hacker hin hätten die Anwendungen auf Kameras und Mikrofone der Geräte zugegriffen, um ihre Umgebung auszuhorchen.
„Interessanterweise ist die Implementierung der in ,XploitSPY’ integrierten Chat-Funktion einzigartig; wir gehen deshalb davon aus, dass diese Chat-Funktion von der ,Virtual Invaders’-Gruppe entwickelt wurde“, berichtet Stefanko.
Hacker konnten Malware vor Sicherheitstools verstecken
Die Malware verwende eine systemeigene Bibliothek, die häufig bei der Entwicklung von „Android“-Apps zur Verbesserung der Leistung und zum Zugriff auf Systemfunktionen eingesetzt werde. In diesem Fall werde die Bibliothek jedoch verwendet, um sensible Informationen zu verbergen, wie z.B. die Adressen der C&C-Server, wodurch es für Sicherheitstools schwieriger werde, die App zu analysieren. Die Hacker-Kampagne habe sich im Laufe der Jahre weiterentwickelt und umfasse nun auch Verschleierung, Emulatorerkennung und das Verstecken von C&C-Adressen.
„Google Play“ habe die betroffenen Apps – „Dink Messenger“, „Sim Info“ und „Defcom“ – nach ihrer Entdeckung entfernt. Darüber hinaus habe ESET als Partner der „Google App Defense Alliance“ zehn weitere Apps identifiziert, welche auf Code von „XploitSPY“ basierten und Google darüber informiert, woraufhin diese ebenso entfernt worden seien.
„Alle schadhaften Apps wiesen nur eine geringe Anzahl von Installationen auf. Dies deutet eher auf einen gezielten Ansatz als eine breit angelegte Strategie hin.“ Insgesamt hätten rund 380 Nutzer die Apps von Websites und aus dem „Google Play Store“ heruntergeladen und Konten erstellt, um die Nachrichtenfunktionen zu nutzen. Aufgrund des gezielten Charakters der Hacker-Kampagne sei die Anzahl der Installationen der einzelnen Apps von „Google Play“ relativ gering: Sie liege zwischen null und 45.
Weitere Informationen zum Thema:
welivesecurity by eseT, Lukas Stefanko, 10.04.2024
ESET Research / eXotic Visit campaign: Tracing the footprints of Virtual Invaders
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren