Anzeige

Coronavirus Mobile

COVID-19 breitet sich aus, und die Menschen suchen nach zuverlässigen Informationen über das Virus und seine Auswirkungen. Gleichzeitig nutzen Regierungen und Unternehmen in großem Umfang die Kommunikation über E-Mail, Textnachrichten und andere digitale Hilfsmittel, um mit Bürgern und ebenso mit Kunden zu kommunizieren. 

Wenig überraschend sind Cyberkriminelle und Betrüger sehr schnell auf den Zug aufgesprungen. Sie machen sich den Wunsch jedes Einzelnen zunutze, auf dem Laufenden zu bleiben, Gesundheitstipps zu finden oder die Verbreitung der Krankheit nachzuverfolgen.

Die Sicherheitsforscher von Lookout haben potenziell bösartige mobile Anwendungen im Zusammenhang mit der Corona-Krise untersucht und sind dabei auf eine Android-App gestoßen. Sie scheint das jüngste Werkzeug einer größeren mobilen Überwachungskampagne zu sein. Sie operiert von Libyen aus und richtet sich gegen libysche Personen.

corona live 1.1. versus „Corona live“-App

Die App trägt die Bezeichnung „corona live 1.1.“ Beim ersten Start informiert die App den Benutzer darüber, dass sie keine besonderen Zugriffsrechte benötigt, verlangt aber anschließend Zugriff auf Fotos, Medien, Dateien und den Speicherort des Geräts sowie die Erlaubnis Bilder und Videos aufzunehmen. In Wirklichkeit ist die ‚corona live 1.1‘-App ein Beispiel für SpyMax, eine trojanisierte Version der seriösen „Corona live“-App (SHA1: 134b53eb8b772f752ae4019b5f9b660c780e7773), die eine Schnittstelle zu den Daten des Johns Hopkins-Coronavirus-Trackers , einschließlich Infektionsraten und Anzahl der Todesfälle über die Zeit und pro Land, bereitstellt.

SpyMax ist eine Familie kommerzieller Überwachungssoftware, die anscheinend von denselben Entwicklern konzipiert wurde wie SpyNote, eine weitere kostengünstige kommerzielle Android-Überwachungssoftware. SpyMax verfügt über sämtliche Möglichkeiten eines Standard-Spionagetools. In Malware-Foren werden besonders ihre „einfache grafische Oberfläche“ und die Benutzerfreundlichkeit gelobt. SpyMax gestattet es einem Angreifer auf eine Vielzahl sensibler Daten auf dem jeweiligen Smartphone zuzugreifen, bietet einen Shell-Terminal sowie die Möglichkeit, Mikrofon und Kamera ferngesteuert zu aktivieren.

Teil einer größeren Spyware-Kampagne

Während diese „corona live 1.1“-App selbst auf mehr Funktionalitäten zu warten scheint, speichert sie Befehls- und Kontrolldaten (C2) in Ressourcen/Werten/Strings, wie es in SpyMax- und SpyNote-Samples üblich ist, bei denen die festcodierte Adresse des Angreifer-Servers enthalten ist. Die Ausgliederung der Domäne des C2-Servers gestattete es den Sicherheitsforschern, 30 einzigartige APKs zu finden, die sich scheinbar im Rahmen einer größeren Überwachungskampagne (welche seit mindestens April 2019 läuft) die Infrastruktur teilen. Die von diesem Akteur verwendeten Anwendungen sind voll funktionsfähig und gehören zu den unterschiedlichsten kommerziellen Spyware-Familien, wie SpyMax, SpyNote, SonicSpy, SandroRat und Mobihok.

Die Bezeichnungen dieser Apps sind ziemlich allgemein gehalten. Die beiden neuesten sind Covid-19-bezogen, mit einem weiteren Beispiel namens „Crona“. Drei Anwendungen unter dem Namen „Libya Mobile Lookup“ haben das besondere Interesse der Sicherheitsforscher geweckt. Diese trojanisierten Anwendungen gehören zur SpyNote-Familie und sind die ersten Beispiele, die mit der besagten C2-Infrastruktur kommunizieren. Das deutet darauf hin, dass sie wahrscheinlich auch die ersten Apps waren, die im Rahmen dieser Überwachungskampagne eingeführt wurden. Sie geben bereits einen Einblick, welche demografische Zielgruppe die Kampagne im Visier hat.

Fazit

Spyware-Kampagnen zeigen, wie in Krisenzeiten unser angeborenes Informationsbedürfnis für böswillige Zwecke und gegen uns selbst genutzt werden kann. Darüber hinaus macht es die Kommerzialisierung von Spyware-Kits – die sozusagen „von der Stange“ zu haben sind - es böswilligen Akteuren ziemlich einfach, maßgeschneiderte Kampagnen fast so schnell zu starten wie sich eine Krise manifestiert. Die Apps waren übrigens nie im GooglePlay-Store verfügbar. Mehr denn je gilt also, möglichst keine Apps aus App-Stores von Drittanbietern herunterzuladen und nicht auf verdächtige Links zu „informativen“ Websites oder in Apps, die per SMS verbreitet werden, zu klicken.

Blog von Kristin del Rosso, Security Research Engineer
 


Weitere Artikel

Smartphone

Unheimliche Dinge, die dein Smartphone über dich weiß

Laut Statista nutzen als direkte Folge der weltweiten COVID-19-Pandemie 70% der Internet-Nutzer ihr Smartphone häufiger. Die deutlich angestiegene Bildschirmzeit lässt nicht nur gesundheitliche Bedenken – wie Nacken- oder Augenprobleme – aufkommen, sondern…

Vorsicht, Abzocke!

Viele Handynutzer:innen werden aktuell von einer SMS-Flut belästigt. Sie stammen von angeblichen Paketdiensten und fordern Empfänger:innen auf, einen Link zu öffnen.
E-Health App

Security Framework macht eHealth-Apps sicher

Bei dem derzeitigen Boom von eHealth-Apps werden Bedenken rund um die Themen Sicherheit und Datenschutz immer lauter. Gerade bei Gesundheits-Apps, die über bestimmte Krankheiten informieren, Unterstützung bieten oder die Kommunikationsschnittstelle zwischen…
Android-Malware

Android-Malware im Google Play Store kapert WhatsApp-Nachrichten

Die Sicherheitsforscher von Check Point sind auf eine neue Malware im Google Play Store gestoßen, die sich nach dem Download über WhatsApp-Nachrichten verteilt und wie ein klassischer Wurm verhält.
E-Health

eHealth-Apps: Ohne Security-Risiken und -Nebenwirkungen?

Derzeit erleben wir einen Boom von eHealth-Apps. Manche Apps begleiten Patienten bei bestimmten Krankheiten, informieren und bieten Unterstützung, andere Apps helfen beim Abnehmen, beim Training oder dienen als Kommunikationsmittel zwischen Krankenkassen und…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.