Anzeige

Malware

Das Lookout Threat Intelligence Team hat vier Android-Überwachungstools entdeckt, die eingesetzt werden, um die ethnische Minderheitengruppe der Uiguren in den Zielfokus zu nehmen. Die Untersuchung zeigt, dass diese vier miteinander verbundenen Malware-Tools Teil einer sehr viel größeren mAPT-Kampagne (mAPT = mobile Advanced Persistent Threat) sind, die seit Jahren aktiv ist. 

Die Sicherheitsforscher haben die Surveillanceware-Familien – SilkBean, DoubleAgent, CarbonSteal und GoldenEagle – bereits seit etwa 2015 beobachtet.

Die Bedrohungsakteure hinter der mAPT verfügen über ein mobiles Arsenal von mindestens vier weiteren Android-Überwachungstools, allgemein bekannt als HenBox, PluginPhantom, Spywaller und DarthPusher. Durch Untersuchung der Surveillanceware-Apps, ihrer Signaturzertifikate und der unterstützenden „Command-and-Control-Infrastruktur“ (C2), haben wir Verbindungen zwischen diesen Malware-Tools und den dahinterstehenden Akteuren aufdecken können. Auf diese Verbindungen werden wir in diesem Bericht näher eingehen. Es gibt Hinweise darauf, dass einige der in diesem Bericht beschriebenen mAPT-Aktivitäten auch öffentlich mit Desktop-APT-Aktivitäten in China in Zusammenhang gebracht werden - ein Bereich, bei dem immer häufiger mobile Malware-Tools zum Einsatz kommen. Die Lookout-Forscher haben Hinweise darauf, dass das Hauptziel dieser Aktivität die uigurische ethnische Minderheit in China ist, aber dass die Instrumente ebenfalls eingesetzt wurden, um außerhalb Chinas lebende Uiguren sowie Tibeter und Muslime auf der ganzen Welt auszuspionieren.

Die Titel und die In-App-Funktionalität lassen vermuten, dass die Zielpersonen eine Vielzahl von Sprachen sprechen, darunter: uighurisch (in allen seinen vier Schriftsystemen: arabisch, russisch, uighurisch, kyrillisch und chinesisch), englisch, arabisch, chinesisch, türkisch, paschtunisch, persisch, malaiisch, indonesisch, usbekisch und Urdu/Hindi.

Der Zeitplan für die Entwicklung und die Ausrichtung der Malware-Familien scheint außerdem mit den chinesischen nationalen Sicherheitsrichtlinien und den sogenannten Anti-Terrorismus-Bemühungen abgestimmt zu sein, die von der chinesischen Regierung festgelegt wurden. Dies verweist möglicherweise auf ein breiteres strategisches Ziel hinter der Kampagne. Das Research-Team von Lookout hat ab dem Jahr 2015 einen Höhepunkt in der Entwicklung von Malware beobachtet, der mit der „Kampagne des harten Vorgehens gegen gewalttätigen Terrorismus“ zusammenfällt. Einer Kampagne in Xinjiang, die im Mai 2014 begann sowie mit der Erstellung der nationalen strategischen Sicherheitsrichtlinien, dem nationalen Sicherheitsgesetz und dem Terrorismusbekämpfungsgesetz im Jahr 2015 zusammenfällt. Darüber hinaus stimmen die Sprachen, Länder und Dienste, auf die mAPT abzielt, mit Chinas offizieller Liste der „26 sensiblen Länder“ überein, die laut öffentlicher Berichterstattung als Zielkriterien von den chinesischen Behörden verwendet wurde. Wir haben Belege dafür gefunden, dass die diskutierten Malware-Kampagnen auf mindestens fünfzehn verschiedene Länder abzielen.

Es wurde bereits früher beobachtet, dass eine Variante von DoubleAgent sich gegen das tibetische Volk richtet. Die in der aktuellen Untersuchung gefundenen Beweise legen nahe, dass die als GoldenEagle klassifizierte Überwachungssoftware dasselbe Ziel haben könnte. SilkBean hingegen ist eine relativ kleine Malware-Familie, die sich gegen uigurische Einzelpersonen richtet. Die gemeinsame Infrastruktur zwischen SilkBean und DoubleAgent legt nahe, dass beide von ein und demselben Akteur betrieben werden - und das seit vielen Jahren. Dieselbe Infrastruktur wurde auch bei der Kommunikation mit Samples der Malware-Familien CarbonSteal und HenBox, PhantomPlugin, Spywaller und DarthPusher beobachtet.

Die Recherche-Experten haben diese vier neuartigen und noch nicht öffentlich bekannten Android-Surveillance-Tools miteinander in Verbindung gebracht. Die Malware-Aktivität zielt in erster Linie auf die uighurische Volksgruppe ab. Die Malware-Familien teilen sich dabei eine „Command-and-Control-Infrastruktur (C2), Signatur-Zertifikate und eine überlappende Code-Struktur, die auf gemeinsame Entwickler und eine viel größere, laufende Malware-Kampagne hinweist. Einige C2-Infrastrukturen stehen auch im Zusammenhang mit APT-Aktivitäten zur Verwendung der XSLCmd-Hintertür, die mit GREF in Verbindung gebracht und über die bereits berichtet wurde.

Die wichtigsten Ergebnisse auf einen Blick: 

Lookout hat vier neue Android-Surveillanceware-Tools entdeckt.

  • Diese Familien sind SilkBean, DoubleAgent, CarbonSteal und GoldenEagle.
  • Das Hauptziel dieser Surveillanceware-Apps ist es, persönliche Benutzerdaten zu sammeln und an einen Command-und-Control-Server zu exfiltrieren. Jede Familie hat ganz eigene, einzigartige Prioritäten und Techniken zur Datensammlung. 
  • Die Sicherheitsforscher von Lookout können einen Teil der zugehörigen Infrastruktur bis ins Jahr 2015 zurückverfolgen, zusammen mit Veränderungen bei der Ausstattung der Tools.
  • Die betreffenden Überwachungstools wurden in Verbindung mit anderen bekannten Malware-Familien wie HenBox, PluginPhantom, Spywaller und Darth Pusher verwendet.

Ziel dieser Malware-Familien sind in erster Linie in China ansässige, aber auch weltweit verteilt lebende Uiguren sowie Tibeter und vermutlich die muslimische Gemeinschaft in Ländern weltweit.

  • Die Titel der Anwendungen und die In-App-Funktionalität der Malware-Samples deuten darauf hin, dass im Zielfokus aller vier Überwachungsgerätefamilien die uigurische muslimische Minderheit steht, die ursprünglich ausXinjiang, China, stammt und dort ansässig ist. Einige Anwendungen und C2-Domänen scheinen entweder legitime oder böswillige App-Stores von Drittanbietern zu imitieren, in uigurischer Sprache und mit Schwerpunkt auf Apps und Diensten, deren Zielgruppe Uiguren sind.
  • Es gibt Hinweise darauf, dass uigurische Gemeinschaften in mindestens fünfzehn anderen Ländern ebenfalls ins Visier genommen werden. Die Inhalte der Malware-Samples verweisen auf lokale Dienste und Nachrichtenagenturen in Ländern wie der Türkei, Syrien, Kuwait, Indonesien, Kasachstan und China.
  • DoubleAgent und GoldenEagle richten sich auch gegen Tibeter, was sich anhand ihrer Betitelung und auf Basis der öffentlichen Berichterstattung10 folgern lässt.
  • Betitelungen der Anwendungen gibt es derzeit in mindestens 10 verschiedenen Sprachen: uigurisch (in allenseinen vier Schriftsystemen: arabisch, russisch, uigurisch-kyrillisch und chinesisch), englisch, arabisch, chinesisch, türkisch, paschtunisch, persisch, malaiisch, indonesisch, usbekisch und Urdu/Hindi.

Alle vier Malware-Familien sind durch eine gemeinsame Command-and-Control-Infrastruktur, Signaturzertifikate sowie Code- und Zielüberschneidungen miteinander verbunden.

  • Stichproben von DoubleAgent und SilkBean teilen sich eine C2-Infrastruktur, was darauf hindeutet, dass hinter dem Einsatz dieser Malware-Tools derselbe Akteur steckt.
  • Die Infrastruktur, die 2018 mit dem als GREF bekannten Akteur allgemein in Verbindung gebracht wurde, steht auch direkt mit CarbonSteal-Stichproben in Verbindung. In der zurückliegenden öffentlichen Berichterstattung wurde GREF auch als APT15, Ke3chang, Mirage, Vixen Panda and Playful Dragon bezeichnet.
  • Die Überschneidung bei den nicht kompromittierten Zertifikaten weist darauf hin, dass eine Kombination aus diesen Tools entweder von einer einzigen Gruppe von mAPT-Akteuren oder einer Reihe verschiedener Akteure genutzt werden, um ähnlich gelagerte Kampagnen gegen Uiguren und andere muslimische Bevölkerungsteile weltweit durchzuführen.

Der Report sollte hier zum Download erhältlich sein.

www.lookout.com


Artikel zu diesem Thema

Cyberattack Warning
Jul 06, 2020

Kampf gegen Cyberkriminalität: Guardicore startet Botnetz-Enzyklopädie

Guardicore hat eine neue Botnetz-Wissensdatenbank freigeschaltet, die fortlaufend…

Weitere Artikel

Phishing

Business-E-Mail Compromise – die vernachlässigte Cybersecurity-Bedrohung

Das FBI beschreibt Business-E-Mail Compromise (BEC) als einen ausgeklügelten Betrug, auch CEO-Betrug genannt, der auf Unternehmen abzielt, die mit ausländischen Lieferanten zusammenarbeiten und/oder regelmäßig Überweisungen tätigen.
Ransomware

Fertigungs- und Produktionsbetriebe zahlen am seltensten Ransomware-Lösegeld

19 Prozent. Nur so wenige Unternehmen aus der Fertigung und Produktion bezahlen Lösegeld nach einem Ransomware-Angriff, um ihre verschlüsselten Daten zu befreien. Weitaus weniger als der branchenübergreifende Durchschnitt mit 32 Prozent.
Industrie 4.0

Schlecht geschützte industrielle Steuerungssysteme gefährden KRITIS

Industrielle Steuerungssysteme sind oft unzureichend gegen Cyberattacken gesichert, wie Sicherheitsforscher von CloudSEK berichten. Das betrifft auch Unternehmen der Kritischen Infrastruktur.
Cyber Crime

Brand Protection - Von Einhörnern und Cyberverbrechen

Unternehmen investieren viel Geld und Energie in den Markenaufbau. Die Marke ist mittlerweile einer der wichtigsten Erfolgsfaktoren eines Unternehmens – ob Mittelstand oder Großkonzern. Sie zu schützen ist also essenziell.
TikTok

TikTok LIVE-Betrug: Gestohlenes Live-Filmmaterial mißbraucht

Tenable deckt heute auf: Gestohlenes Videomaterial von Prominenten, Content-Erstellern und anderen wird von Betrügern ausgenutzt, indem sie die LIVE-Funktion von TikTok missbrauchen, eine Funktion, die für TikTok-Benutzer bestimmt ist, die mindestens 1.000…
Deepfakes

Deepfakes - Manipulationen als Gefahr

Wie lässt sich prüfen, ob Informationen echt und vertrauenswürdig sind – gerade solche, die über das Internet oder die Sozialen Medien verbreitet werden?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.