Anzeige

Coronavirus Mobile

COVID-19 breitet sich aus, und die Menschen suchen nach zuverlässigen Informationen über das Virus und seine Auswirkungen. Gleichzeitig nutzen Regierungen und Unternehmen in großem Umfang die Kommunikation über E-Mail, Textnachrichten und andere digitale Hilfsmittel, um mit Bürgern und ebenso mit Kunden zu kommunizieren. 

Wenig überraschend sind Cyberkriminelle und Betrüger sehr schnell auf den Zug aufgesprungen. Sie machen sich den Wunsch jedes Einzelnen zunutze, auf dem Laufenden zu bleiben, Gesundheitstipps zu finden oder die Verbreitung der Krankheit nachzuverfolgen.

Die Sicherheitsforscher von Lookout haben potenziell bösartige mobile Anwendungen im Zusammenhang mit der Corona-Krise untersucht und sind dabei auf eine Android-App gestoßen. Sie scheint das jüngste Werkzeug einer größeren mobilen Überwachungskampagne zu sein. Sie operiert von Libyen aus und richtet sich gegen libysche Personen.

corona live 1.1. versus „Corona live“-App

Die App trägt die Bezeichnung „corona live 1.1.“ Beim ersten Start informiert die App den Benutzer darüber, dass sie keine besonderen Zugriffsrechte benötigt, verlangt aber anschließend Zugriff auf Fotos, Medien, Dateien und den Speicherort des Geräts sowie die Erlaubnis Bilder und Videos aufzunehmen. In Wirklichkeit ist die ‚corona live 1.1‘-App ein Beispiel für SpyMax, eine trojanisierte Version der seriösen „Corona live“-App (SHA1: 134b53eb8b772f752ae4019b5f9b660c780e7773), die eine Schnittstelle zu den Daten des Johns Hopkins-Coronavirus-Trackers , einschließlich Infektionsraten und Anzahl der Todesfälle über die Zeit und pro Land, bereitstellt.

SpyMax ist eine Familie kommerzieller Überwachungssoftware, die anscheinend von denselben Entwicklern konzipiert wurde wie SpyNote, eine weitere kostengünstige kommerzielle Android-Überwachungssoftware. SpyMax verfügt über sämtliche Möglichkeiten eines Standard-Spionagetools. In Malware-Foren werden besonders ihre „einfache grafische Oberfläche“ und die Benutzerfreundlichkeit gelobt. SpyMax gestattet es einem Angreifer auf eine Vielzahl sensibler Daten auf dem jeweiligen Smartphone zuzugreifen, bietet einen Shell-Terminal sowie die Möglichkeit, Mikrofon und Kamera ferngesteuert zu aktivieren.

Teil einer größeren Spyware-Kampagne

Während diese „corona live 1.1“-App selbst auf mehr Funktionalitäten zu warten scheint, speichert sie Befehls- und Kontrolldaten (C2) in Ressourcen/Werten/Strings, wie es in SpyMax- und SpyNote-Samples üblich ist, bei denen die festcodierte Adresse des Angreifer-Servers enthalten ist. Die Ausgliederung der Domäne des C2-Servers gestattete es den Sicherheitsforschern, 30 einzigartige APKs zu finden, die sich scheinbar im Rahmen einer größeren Überwachungskampagne (welche seit mindestens April 2019 läuft) die Infrastruktur teilen. Die von diesem Akteur verwendeten Anwendungen sind voll funktionsfähig und gehören zu den unterschiedlichsten kommerziellen Spyware-Familien, wie SpyMax, SpyNote, SonicSpy, SandroRat und Mobihok.

Die Bezeichnungen dieser Apps sind ziemlich allgemein gehalten. Die beiden neuesten sind Covid-19-bezogen, mit einem weiteren Beispiel namens „Crona“. Drei Anwendungen unter dem Namen „Libya Mobile Lookup“ haben das besondere Interesse der Sicherheitsforscher geweckt. Diese trojanisierten Anwendungen gehören zur SpyNote-Familie und sind die ersten Beispiele, die mit der besagten C2-Infrastruktur kommunizieren. Das deutet darauf hin, dass sie wahrscheinlich auch die ersten Apps waren, die im Rahmen dieser Überwachungskampagne eingeführt wurden. Sie geben bereits einen Einblick, welche demografische Zielgruppe die Kampagne im Visier hat.

Fazit

Spyware-Kampagnen zeigen, wie in Krisenzeiten unser angeborenes Informationsbedürfnis für böswillige Zwecke und gegen uns selbst genutzt werden kann. Darüber hinaus macht es die Kommerzialisierung von Spyware-Kits – die sozusagen „von der Stange“ zu haben sind - es böswilligen Akteuren ziemlich einfach, maßgeschneiderte Kampagnen fast so schnell zu starten wie sich eine Krise manifestiert. Die Apps waren übrigens nie im GooglePlay-Store verfügbar. Mehr denn je gilt also, möglichst keine Apps aus App-Stores von Drittanbietern herunterzuladen und nicht auf verdächtige Links zu „informativen“ Websites oder in Apps, die per SMS verbreitet werden, zu klicken.

Blog von Kristin del Rosso, Security Research Engineer
 


Weitere Artikel

Login

Sichere Logins: Das wünschen sich die Nutzer

Immer mehr Waren und Dienstleistungen werden online gekauft. Nutzer legen dabei Wert auf bequeme Bedienung und hohen Datenschutz. Wie lässt sich beides am besten vereinbaren?
Smart-eID: Online-Ausweis

Digital ausweisen mit dem Online-Ausweis auf dem Smartphone

Ab Winter können sich Bürgerinnen und Bürger direkt über ihr kompatibles Samsung Galaxy Smartphone ausweisen und ausgewählte Behördengänge erledigen – eine komfortable und intuitive Ergänzung zur bisherigen elektronischen Identifizierung mittels haptischem…
Mobile Security

Smartphone-Sicherheit: Datenklau und Ransomware sind größte Gefahren

Das SANS Institute, eine der weltweit renommiertesten und größten Schulungs- und Zertifizierungsorganisationen rund um das Thema Informationssicherheit, stellt die Ergebnisse des aktuellen Reports über die sichere Nutzung von Mobilgeräten vor. Der Report…
Smartphone

Wie kann man die Sperrfunktion des Smartphones umgehen?

Komfort und Sicherheit verhalten sich in der IT oft ähnlich in ihrem Verhältnis zueinander wie Freiheit und Sicherheit. Das eine geht nur auf Kosten des anderen. Ein aktuelles Beispiel bietet die Apple Pay „Express Transit“-Funktionalität.
Digital Wallet

Das Datenschutz-Fiasko mit der ID Wallet-App

Spätestens im Zuge der Corona-Pandemie und den neuen Homeoffice-Regelungen ist klar geworden: Deutschland muss digitaler werden. Der Bund hat nun mit der ID Wallet-App einen kleinen Schritt in die Zukunft gewagt – und ist krachend gescheitert.
Mobile Security

Schlechte Integration macht Vorteile mobiler Technologien zunichte

Die neue globale Studie „A Defining Year: State of Mobility 2021 Report“ des IoT- und Mobile-Management-Experten SOTI zeigt: Die unzureichende Integration mobiler Technologien in die firmeneigene IT-Infrastruktur schwächt Unternehmen in einem offenbar…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.