Anzeige

DDoS

ESET hat in diesem Jahr erstmals einen DDoS-Angriff per Mobile-Botnet aufgedeckt. Die Täter attackierten mit infizierten gekaperten Zombie-Smartphones die Webseite.

Der erfolgreich abgewehrte Angriff ermöglichte es den Security-Experten, dieses neu aufkommende Angriffsszenario und die dahinterliegenden Strukturen detailliert zu analysieren.

„DDoS-Angriffe werden normalerweise immer noch über PCs oder Server realisiert. Die Zeiten ändern sich jedoch gerade. Mobile Geräte werden leistungsfähiger und ihre Internetanbindung wird schneller“, erklärt Lukas Stefanko, Android Malware Researcher bei ESET. „Wenn ihr Anteil am gesamten Internetdatenverkehr im Consumer-Bereich die von Computern übertreffen wird, werden Kriminelle sie noch häufiger für ihre Angriffe verwenden.“

Fake-App verwandelt Handys in Zombie-Smartphones

Analysen ergaben, dass die DDoS-Attacke mithilfe einer App namens „Updates for Android“ erfolgte, die bis Januar 2020 mehr als 50.000 Downloads verzeichnete. Um der Anwendung einen legitimen Touch zu verleihen und diese zu bewerben, stellten die Angreifer eine eigens dafür eingerichtete Webseite online.

Zudem setzten die Angreifer auf ein zweistufiges Vorgehen: In der ursprünglichen Version fehlte der Anwendung die bösartige Funktionalität. Das erklärt auch, warum es die App in den Play-Store geschafft hatte. Erst zwei Wochen vor dem Angriff wurde die Malware per Update ausgespielt und in die installierte App implementiert. Analog zu einem PC-Botnet ermöglichte der Schadcode, jedes infizierte Smartphone individuell anzusteuern. Die für einen DDoS-Angriff notwendigen Befehle verteilten die Kriminellen dann per Command & Control Konsole. Im Sekundentakt riefen so die ferngesteuerten Zombie-Smartphones die anvisierten Webseiten auf. An der durchgeführten Attacke, die circa sieben Stunden andauerte, waren etwa zehn Prozent der infizierten Geräte beteiligt.

Angreifer legen eigenes Botnet ungewollt offen

Die Ziele des Angriffs bleiben indes im Dunkeln. „Wir können nur spekulieren“, sagt Stefanko. „Unter dem Strich war der einzige Effekt des Angriffs, dass die Angreifer ihr Botnetz offengelegt haben. Praktisch existiert dieses DDoS-Tool nicht mehr.“ Die entsprechende App wurde an Google gemeldet und umgehend aus dem Play Store entfernt. Die Anwendung kann allerdings noch aus inoffiziellen Quellen bezogen werden. ESET Sicherheitslösungen erkennen den Trojaner als Trojan.Android/Hiddad.AJN.

www.eset.de


Weitere Artikel

Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.
Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.