Anzeige

Spyware

Cybereason hat in den letzten Wochen eine neue Version der Android-Malware FakeSpy untersucht. Sie wurde erstmals im Oktober 2017 entdeckt und dann im Oktober 2018 erneut gemeldet. Im Moment läuft eine aktuelle Kampagne mit einer deutlich verbesserten, wesentlich leistungsfähigeren Malware als es bei früheren Versionen der Fall war.

FakeSpy wird aktiv weiterentwickelt und das in einem rasanten Tempo. Jede Woche veröffentlichen die Autoren neue Versionen, die über zusätzliche Verschleierungstechniken und Funktionen verfügen. 

Die Malware nutzt Smishing oder SMS-Phishing, um den Zielcomputer zu infiltrieren, eine Technik, die sich auf Social Engineering stützt. Die Angreifer senden gefälschte Textnachrichten, um die Opfer zu verleiten auf einen bösartigen Link zu klicken. Der Link leitet die Nutzer zu einer schädlichen Webseite weiter, wo sie aufgefordert werden, ein Android Application Package (APK) herunterzuladen.

Diese jüngste FakeSpy-Kampagne scheint Postdienstleistungen auf der ganzen Welt ins Visier zu nehmen. Neue Versionen von FakeSpy tarnen sich als staatliche Post- und Transport-Apps. Die Analyse von Cybereason deutet darauf hin, dass sich die Bedrohungsakteure bei ihren Kampagnen nicht mehr allein auf ostasiatische Länder beschränken, sondern inzwischen weltweit agieren. 

Wichtigste Erkenntnisse

  • Das Nocturnus-Team von Cybereason untersucht eine neue FakeSpy-Kampagne, eine mobile Android-Malware, die erstmal im Oktober 2017 auftauchte. FakeSpy ist ein Information Stealer, der in der Lage ist, SMS-Nachrichten zu stehlen und zu versenden, finanzielle Informationen und Anwendungsdaten abzuziehen, Kontoinformationen und Kontaktlisten auszulesen und vieles mehr.
  • FakeSpy hat zunächst südkoreanisch- und japanisch-sprachige Ziele angegriffen. Das hat sich inzwischen geändert und die Schadsoftware richtet sich jetzt gegen Benutzer weltweit. Dabei konzentriert sie sich vornehmlich auf Postunternehmen in Ländern wie den Vereinigten Staaten, Großbritannien, Deutschland, Frankreich, China, Taiwan, der Schweiz und weiteren mehr.
  • FakeSpy ist unter anderem deswegen interessant, weil die Malware bereits seit 2017 aktiv ist. Nun zeigt die neueste Kampagne, dass FakeSpy erheblich leistungsfähiger geworden ist! Verbesserungen an der Code-Basis, neue Funktionen, Anti-Emulationstechniken und eine neue globale Zielgruppe lassen darauf schließen, dass diese Malware von ihren Urhebern gut gepflegt wird.
  • Cybereason vermutet, dass aufgrund der vielen bei der Analyse gefundenen Artefakte, chinesische Urheber für die Malware verantwortlich zeichnen. Die Namen der Malware-Pakete verwenden die englische Schreibweise chinesischer Namen mit Verweisen auf chinesische Lieder, chinesisches Essen, chinesische Provinzen usw. Darüber hinaus sind die Domains, die für die Kommunikation mit dem Command-and-Control (C2)-Server verwendet werden, auf einen chinesischen Namen registriert, der wiederum einem chinesischen Internetdienstanbieter zugeordnet ist.
  •  Die aktuelle Untersuchung gibt einen detaillierten Einblick in die Art und Weise, wie genau die Malware-Autoren FakeSpy zu einer gut ausgestatteten Android-Malware gemacht haben. Durch Untersuchung winziger Details ist es Cybereason gelungen, zu zeigen, wie gefährlich diese Malware tatsächlich ist.

Schlussfolgerungen

FakeSpy ist erstmals im Oktober 2017 in Erscheinung getreten und zielte bis vor kurzem hauptsächlich auf ostasiatische Länder ab. Die Untersuchung zeigt neueste Entwicklungen des Malware-Codes und der Funktionsmerkmale sowie eine Ausweitung auf europäische und nordamerikanische Regionen.

Die Malware zielt nun auf Länder weltweit ab und tarnt sich als offizielle App von Post- und Transportdiensten. Diese Apps erscheinen aufgrund des verwendeten App-Logos, des Erscheinungsbildes der Benutzeroberfläche und der Umleitung auf die Webseite des Betreibers als legitim – was den Endbenutzer dazu verleitet, die App für das Original zu halten.

Viele Artefakte deuten unserer Ansicht nach darauf hin, dass die Bedrohungsakteure in China beheimatet sein könnten. Die für die Kommunikation der C2 verwendeten Domänen sind auf einen chinesischen Namen registriert, der zu einem chinesischen Online-Anbieter gehört. Darüber hinaus sind die Namen der Malware-Pakete in anglisiertem Chinesisch geschrieben und beziehen sich auf chinesische Lieder, Ernährung, Provinzen usw.

Die Malware-Autoren investieren ganz offensichtlich einiges an Aufwand in die Weiterentwicklung der Malware und bündeln sie mit zahlreichen Upgrades. Diese erweitern die Funktionspalette insgesamt und verbessern die Verschleierungstaktiken der Malware, um möglichst lange unentdeckt zu bleiben. Die Verbesserungen machen FakeSpy zu einem der derzeit leistungsstärksten Information Stealer auf dem Markt. Cybereason geht davon aus, dass sich diese Malware mit zusätzlichen neuen Funktionen weiter entwickeln wird. Die nächste Welle kommt, so viel ist sicher. Offen ist lediglich, wann. 

www.cybereason.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Security Assesment
Jul 01, 2020

5 Tipps für Security Awareness Programme

Security Awareness kommt mit jeder erfolgreichen Phishing E-Mail, aus der dann auch noch…
Cybercrime
Jun 25, 2020

Social-Engineering-Methoden bei 50 % der untersuchten Angriffe

Unternehmen stellen sich zunehmend der digitalen Transformation. Prozesse werden vernetzt…
phishing businessman
Mai 13, 2020

Security-Grundlagen gegen Phishing-Angriffe

Cyberkriminelle sind oft nur einen Phishing-Angriff davon entfernt, ungehinderten Zugriff…

Weitere Artikel

Thunderbolt

Schutz von Thunderbolt-Anschlüssen vor Sicherheitslücken

Wie können sich Anwender vor den Schwachstellen namens Thunderspy schützen? Obwohl die Sicherheitslücken in der Thunderbolt-Technologie seit Mai 2020 bekannt ist, gibt es wenig Hilfestellungen, wie sich Anwender schützen können.
Bug

Kostenlose Bug-Bounty-Self-Hosting-Lösung für Hacker

YesWeHack startet mit „Pwning Machine“ eine Docker-basierte Umgebung, die ethischen Hackern eine selbst gehostete Bug-Bounty-Lösung bietet. Sie ist mit einer anpassbaren und erweiterbaren Palette von Diensten ausgestattet, darunter ein DNS-Server, ein…
Hacked

Cyberangriffe auf Unternehmen und Behörden in Österreich

Die Sicherheitsexperten des Cybersecurity-Unternehmens Proofpoint konnten im April dieses Jahres eine Malware-Kampagne gegen Unternehmen und Behörden in Österreich beobachten. Bei der Kampagne wurden E-Mails in deutscher Sprache verschickt, die angeblich von…
Hacker Fernglas

Über 248 Millionen persönliche Online-Zugangsdaten offengelegt

Laut der Untersuchungen von NordPass ist das Internet voll von exponierten Datenbanken und Deutschland steht dabei an vierter Stelle. Aufgefunden wurden 361 ungesicherte Datenbanken mit 248.252.244 Einträgen, darunter befinden sich auch persönliche Daten wie…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!