[datensicherheit.de, 27.06.2018] „Hören Sie es graben?“, fragt Dietmar Schnabel, „Regional Director Central Europe“ bei Check Point Software Technologies, und nimmt Stellung zu den Gefahren der „Mobile Miners“. Cyber-Kriminelle, die ihren Fokus vor allem auf mobile Malware legten, müssten sich schnell und flexibel anpassen: Um eine höhere Reichweite zu erzielen, sei es für sie notwendig, Trends – wie den der Cyber-Währungen – zu folgen.

Vielfältiges Vorgehen der Cyber-Kriminellen

Cyber-Kriminelle nutzten den derzeitigen Hype um Kryptowährungen auf unterschiedliche Weise. Einige „Mobile Miners“ versuchten, die digitalen Währungen heimlich zu stehlen, andere wiederum den Nutzer dazu zu verleiten, bewusst – gegen einen Anteil an gestohlenen Coins – Malware zu installieren. „Die tatsächliche Absicht besteht aber darin, illegitime Werbeanzeigen zu veröffentlichen. Anspruchsvollere Malware versucht hingegen Zugangsdaten zu hacken, um so an das Kryptogeld zu kommen“, erläutert Schnabel.

© Check Point

Dietmar Schnabel, „Regional Director Central Europe“ bei Check Point Software Technologies

Trotz der Unterschiede gebe es auch einige Gemeinsamkeiten. Zunächst einmal gelinge es den „Mobile Miners“ in die offiziellen Webstores von Google und Apple einzudringen und so Zugang zu einer breiten Öffentlichkeit zu erlangen. Darüber hinaus nutzten sie von anderen mobilen Malware-Familien eingeführte Technologien, wie beispielsweise der Banking-Malware und Adware, um darauf aufbauend die eigenen Ergebnisse zu verbessern. Schnabel: „Es stellt sich nun die Frage, welche Formen diese Angriffe annehmen können und welche Schutzmöglichkeiten es gibt…“

1. Verdecktes Mining:
   Ein Typus dieser ,Mobile Miners‘ infiziert das Gerät des Opfers, indem es sich als unabhängige und legitime App tarnt und dann die Rechnerleistung des Gerätes nutzt, um Kryptowährungen zu schürfen. Die Malware versucht so eine große Anzahl an Geräten zu infizieren, um dann wiederum ein Botnet zu bilden. Die bösartigen Aktivitäten sind kaum wahrnehmbar, oft schlüpfen sie ganz einfach durch die Maschen der Sicherheitsnetze der App-Stores“, führt Schnabel aus.
   Diese heimlichen Manöver hätten in den letzten Jahren zu einem Anstieg dieser verdeckten Cryptominer geführt. Tatsächlich seien erst kürzlich viele dieser bösartigen Apps in „Google Play“ eingeschleust worden – der Höhepunkt sei aber noch lange nicht erreicht.
   Check-Point-Forscher hätten ebenfalls ein Exemplar einer Mining-Malware auf „Google Play“ entdeckt, das vor der Löschung aus dem Store bereits über 10.000 Mal heruntergeladen worden sei. Ein anderer Malware-Stamm habe sich per SMS-Nachrichten verbreitet – mit dem Versprechen, kostenlose Bitcoins zu erhalten, an die Nutzer versandt. Tatsächlich hätten die Cyber-Kriminellen die Geräte aber für Cryptomining missbraucht. Mining-Aktivitäten seien auch Teil der umfassendsten jemals gefundenen, in einem Botnet bereitgestellten Malware.
2. „Scam Miners“ – Mining-Werbung
   Angesichts der rasanten Wertsteigerung von Kryptowährungen sei es verständlich, dass viele in das Geschäft mit einsteigen möchten. Schnabel: „Jedoch nicht alle haben die technischen Fähigkeiten, die zum Schürfen dieser Währungen erforderlich sind. Cyber-Kriminelle nutzen diese Kombination aus Wunsch und Wissensmangel zu ihrem eigenen Vorteil und versprechen Nutzern einen Anteil an den geschürften Coins als Gegenleistung für das freiwillige Installieren der ,Mining‘-Software.“
   Alles, was der Nutzer jedoch als Gegenleistung für seinen guten Willen bekomme, sei die Anzeige unerwünschter und illegitimer Werbung – profitiert habe dabei dann nur der Malware-Entwickler.
   Check Points Forscher hätten kürzlich ein Exemplar dieses Malware-Typs auf „Google Play“ – versteckt in einer App entdeckt, die bereits über 100.000 Mal heruntergeladen worden sei. „Es wurde behauptet, dass die App Bitcoins schürft“, so Schnabel – und zusätzlich jedem neuen Nutzer 50.000 Satoshis (die kleinste Bitcoin-Einheit, die zum Zeitpunkt der Veröffentlichung rund 10 US-Dollar Wert gehabt habe) zu zahlen. Der Nutzer habe seinen Anteil allerdings erst abheben dürfen, wenn eine bestimmte, sehr hohe Summe an Bitcoins zusammengekommen ist. Somit werde der versprochene Anteil also nie ausgezahlt, da diese Bitcoin-Summe niemals erreicht werde. Zusätzlich würden die App-Nutzer aufgefordert, gute Bewertungen – im Idealfall mit fünf Sternen – abzugeben. So sollten noch weitere potenzielle Opfer dazu verleitet werden, diese App herunterzuladen.
3. Crypto-Banker – ein neuer Typ von „Mobile Bankers“
   Am schädlichsten seien vermutlich jene „Mobile Miners“, die versuchten Zugangsdaten zur Kryptogeldbörse zu stehlen, indem sie Kryptowährungsseiten imitierten.
   Ein erstes Beispiel hierfür sei im Oktober 2017 im „Google Play-Store“ entdeckt worden. Schnabel: „Dabei hatte sich die Malware als die mobile App der Kryptobörse ,Poloniex‘ getarnt. Nach dem Download wurden die Nutzer aufgefordert ihre persönlichen Zugangsdaten einzugeben, um auf ihr Konto zugreifen zu können. Tatsächlich leiteten die Cyber-Kriminellen ihre Opfer jedoch zu einer kompromittierten Seite, ‚połoniex.com’, um – beachten Sie das gefälschte „I“ – anstatt zu ,poloniex.com‘.“
   Die beiden Malware enthaltenden Apps seien zwar aus dem „Google Play-Store“ entfernt worden, doch bereits einen Monat später hätten Forscher von Check Point eine neue Version gefunden – wieder als „Poloniex“-App getarnt. Diesmal hätten es die Angreifer geschafft, sich mit einem „@poloniex.com“-Account zu registrieren. Diese Malware sei vom „Play Store“ nach einer Meldung von Check Point an Google entfernt worden.
   Zu diesem Zeitpunkt sei diese App allerdings bereits über 10.000 Mal heruntergeladen worden. Der mobilen Malware sei es sogar gelungen, in Apples „App Store“ einzudringen. Ein ähnlicher Malware-Typ habe dort versucht, die Nutzer dazu zu bringen, der App Zugriff auf ihre Kontodaten und Authentifikationen zu gewähren. „Die Malware wurde, nachdem besorgte Nutzer die verdächtige Aktivität gemeldet hatten, entfernt“, berichtet Schnabel. Dennoch werde klar, dass kein App-Store vor mobiler Malware sicher sei.

Weitere Informationen zum Thema:

datensicherheit.de, 25.03.2018
Digitale Taschendiebe: ComboJack-Malware stiehlt Kryptowährungen

[datensicherheit.de, 17.10.2017] Nach Ansicht von Dietmar Schnabel, „Regional Director Central Europe“ bei Check Point, sind die Auswirkungen der Schwachstelle im WPA1 und WPA2 „weniger kritisch als zuerst gedacht“. Zwar seien weiterhin viele WLANs angreifbar, allerdings seien die meisten Verbindungen durch VPN oder HTTPS geschützt. Für eine erfolgreiche Kompromittierung des Netzwerks müssten sich Cyber-Kriminelle für eine „KRACK-Attack“ (Key Reinstallation Attack) in Reichweite des Hotspots befinden. Erst dann könnten sie die Verschlüsselung ausschalten und Inhalte mitlesen – zumindest theoretisch.

Mehrschichtige Sicherheitskonzepte gefragt

Die Warnungen vom BSI und des Chaos Computer Clubs zeigten gerade, wie wichtig mehrschichtige Sicherheitskonzepte sind. Schnabel: „Schon vor Jahren wurden die meisten Homepages von HTTP auf HTTPS umgestellt.“ Angreifer müssten dann einen „SSL Man-In-The-Middle“-Angriff (SSL MITM) schalten, um die Kommunikation mitlesen zu können.
Auch hierbei seien die Erfolgsaussichten der Hacker eingeschränkt, da auf vielen Geräten die Sandboxing-Lösung durch die Anwender oder Unternehmen installiert worden seien. Diese schützten vor eben solchen Attacken. Bei Laptops und Desktop-PCs gehöre dies zum Standard, allerdings gebe es speziell im Mobilbereich noch Nachholbedarf. Deshalb sollten Organisationen hierauf reagieren, falls noch keine Lösung integriert wurde.

© Check Point

Dietmar Schnabel: Einseitiger Schutz ist langfristig ein großes Risiko!

Patches benötigen noch Zeit

Vor wenigen Jahren wäre ein solcher Vorfall mit WPA2 ein „Super-GAU“ gewesen, betont Schnabel. Da aber gleich an mehreren Stellen Schutzmechanismen implementiert wurden, seien die Auswirkungen einer wirklich kritischen Schwachstelle deutlich abgemildert.
Man sollte trotzdem bedenken, dass ein Großteil alle WLANs betroffen sind und dass es noch etwas dauern werde, bis die nötigen Patches ausgerollt sind. Schnabel: „Unternehmen müssen aus solchen Vorfällen ihre Schlüsse ziehen und schauen, inwieweit sie sich vorbereitet haben. Einseitiger Schutz ist langfristig ein großes Risiko.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.10.2017
WLAN-Verschlüsselung nach WPA2: Kritische Schwachstellen entdeckt

[datensicherheit.de, 01.06.2017] Check Point hat nach eigenen Angaben Malware im „Google Play Store“ entdeckt – der Schädling „Judy“ verbuche dabei mindestens 8,5 Millionen Downloads. Forscher sprechen demnach von der wahrscheinlich umfangreichsten Malware-Kampagne bisher: Insgesamt 41 verseuchte Applikationen sollen möglicherweise bis zu 36,5 Millionen Mal heruntergeladen worden sein.

41 infizierte Apps im „Google Play Store“

Die Check Point® Software Technologies Ltd. meldet die Entdeckung einer umfangreiche Angriffswelle mit 41 infizierten Apps im „Google Play Store“. Ein Großteil der schädlichen Applikationen sei von einem koreanischen Unternehmen namens Kiniwini entwickelt worden. Diese Organisation entwickele normalerweise Programme für „iOS“ und „Android“, sei aber bisher nicht als Malware-Programmierer in Erscheinung getreten.

Einnahmen durch Klicks auf Werbebanner

Nach einer Infektion generiere „Judy“ Einnahmen durch Klicks auf Werbebanner. Dabei verfüge diese Schadsoftware über Tarnmechanismen, um den Bouncer-Sicherheitsmechanismus von Google zu umgehen.
Durch eine legitime App erschleiche sich der Schädling Zugriff auf das Gerät des Opfers und baue dann eine Verbindung zum „Command & Control“-Server auf. Über „JavaScript“-Code würden danach über ein verstecktes Fenster Klicks auf „Google-Adverts“ generiert. Die Ersteller der Malware kassierten pro geniertem Klick, da dieser aus Sicht des Anzeigenschalters von deren Homepage zu kommen scheine.
Die eigentliche Zahl der Infektionen liege wahrscheinlich deutlich höher. Neben Kiniwini hätten auch andere Entwickler den Schadcode in Applikationen eingebaut. Es sei nicht bekannt, ob diese in Verbindung zueinander stehen. Insgesamt könnten bis zu 36,5 Millionen Endgeräte Opfer einer Attacke mit „Judy“ geworden sein.

Foto: Check Point® Software Technologies Ltd.

Dietmar Schnabel: Viele Endpunkte bei KMU noch nicht gesichert

Mittelstand zum Handeln aufgerufen!

„Mobile Geräte sind die Grundlage der digitalen Integration und aus der Unternehmenswelt nicht mehr wegzudenken – gerade deshalb ist die Entdeckung besonders schockierend. Ein derart großer Angriff über eine solange Zeit muss einen Wendepunkt beim Thema ,Mobile Security‘ bedeuten“, so Dietmar Schnabel, „Regional Direktor Central Europe“ bei Check Point.
Es gebe ausgereifte Schutzmechanismen für jede Organisation, doch häufig unterschätzten Unternehmen die Gefahr. Gerade bei Mittelständlern bestehe Handlungsbedarf, denn dort seien viele Endpunkte nicht gesichert.
Teilweise seien die verseuchten Apps jahrelang unentdeckt im „Google Play Store“ gewesen. Auffällig sei, dass mehrere Apps im April 2016 „geupdated“ worden seien.

Weitere Informationen zum Thema:

Check Point, 25.05.2017
The Judy Malware: Possibly the largest malware campaign found on Google Play

[datensicherheit.de, 14.10.2014] Bei einem Hacker-Angriff gelang es Daten von mehr als 76 Miilionen Privatkunden und sieben Millionen Geschäftskunden zu erbeuten.

Dietmar Schnabel, Regional Director Central Europe bei Check Point, erklärt dazu: „Zwar sind die detaillierten Kontodaten sicher geblieben, doch die Angreifer konnten Kontaktdaten erbeuten. Daher müssen die Kunden streng darauf achten, keine Links in E-Mails anzuklicken, die scheinbar von JP Morgan stammen und sie über Veränderungen im Hinblick auf die Sicherheit ihres Kontos informieren – ganz gleich, wie authentisch eine solche Mail zu sein scheint. Die Angreifer werden versuchen, Kunden, die von dieser Sicherheitspanne betroffen sind, zu täuschen und zur Preisgabe weiterer Details zu bringen. Für die Angreifer ist das einfach eine Zahlenlotterie, doch für die Kunden könnte es gravierende Konsequenzen haben. Phishing-E-Mails sind und bleiben das häufigste Mittel zur Durchführung von Social-Engineering-Angriffen.“

© Check Point

Dietmar Schnabel, Regional Director Central Europe bei Check Point

Weitere Informationen zum Thema:

heise online, 03.10.2014
US-Bericht: Über 80 Millionen Konten bei JPMorgan von Hacker-Angriff betroffen