Anzeige

Coronavirus Mobile

COVID-19 breitet sich aus, und die Menschen suchen nach zuverlässigen Informationen über das Virus und seine Auswirkungen. Gleichzeitig nutzen Regierungen und Unternehmen in großem Umfang die Kommunikation über E-Mail, Textnachrichten und andere digitale Hilfsmittel, um mit Bürgern und ebenso mit Kunden zu kommunizieren. 

Wenig überraschend sind Cyberkriminelle und Betrüger sehr schnell auf den Zug aufgesprungen. Sie machen sich den Wunsch jedes Einzelnen zunutze, auf dem Laufenden zu bleiben, Gesundheitstipps zu finden oder die Verbreitung der Krankheit nachzuverfolgen.

Die Sicherheitsforscher von Lookout haben potenziell bösartige mobile Anwendungen im Zusammenhang mit der Corona-Krise untersucht und sind dabei auf eine Android-App gestoßen. Sie scheint das jüngste Werkzeug einer größeren mobilen Überwachungskampagne zu sein. Sie operiert von Libyen aus und richtet sich gegen libysche Personen.

corona live 1.1. versus „Corona live“-App

Die App trägt die Bezeichnung „corona live 1.1.“ Beim ersten Start informiert die App den Benutzer darüber, dass sie keine besonderen Zugriffsrechte benötigt, verlangt aber anschließend Zugriff auf Fotos, Medien, Dateien und den Speicherort des Geräts sowie die Erlaubnis Bilder und Videos aufzunehmen. In Wirklichkeit ist die ‚corona live 1.1‘-App ein Beispiel für SpyMax, eine trojanisierte Version der seriösen „Corona live“-App (SHA1: 134b53eb8b772f752ae4019b5f9b660c780e7773), die eine Schnittstelle zu den Daten des Johns Hopkins-Coronavirus-Trackers , einschließlich Infektionsraten und Anzahl der Todesfälle über die Zeit und pro Land, bereitstellt.

SpyMax ist eine Familie kommerzieller Überwachungssoftware, die anscheinend von denselben Entwicklern konzipiert wurde wie SpyNote, eine weitere kostengünstige kommerzielle Android-Überwachungssoftware. SpyMax verfügt über sämtliche Möglichkeiten eines Standard-Spionagetools. In Malware-Foren werden besonders ihre „einfache grafische Oberfläche“ und die Benutzerfreundlichkeit gelobt. SpyMax gestattet es einem Angreifer auf eine Vielzahl sensibler Daten auf dem jeweiligen Smartphone zuzugreifen, bietet einen Shell-Terminal sowie die Möglichkeit, Mikrofon und Kamera ferngesteuert zu aktivieren.

Teil einer größeren Spyware-Kampagne

Während diese „corona live 1.1“-App selbst auf mehr Funktionalitäten zu warten scheint, speichert sie Befehls- und Kontrolldaten (C2) in Ressourcen/Werten/Strings, wie es in SpyMax- und SpyNote-Samples üblich ist, bei denen die festcodierte Adresse des Angreifer-Servers enthalten ist. Die Ausgliederung der Domäne des C2-Servers gestattete es den Sicherheitsforschern, 30 einzigartige APKs zu finden, die sich scheinbar im Rahmen einer größeren Überwachungskampagne (welche seit mindestens April 2019 läuft) die Infrastruktur teilen. Die von diesem Akteur verwendeten Anwendungen sind voll funktionsfähig und gehören zu den unterschiedlichsten kommerziellen Spyware-Familien, wie SpyMax, SpyNote, SonicSpy, SandroRat und Mobihok.

Die Bezeichnungen dieser Apps sind ziemlich allgemein gehalten. Die beiden neuesten sind Covid-19-bezogen, mit einem weiteren Beispiel namens „Crona“. Drei Anwendungen unter dem Namen „Libya Mobile Lookup“ haben das besondere Interesse der Sicherheitsforscher geweckt. Diese trojanisierten Anwendungen gehören zur SpyNote-Familie und sind die ersten Beispiele, die mit der besagten C2-Infrastruktur kommunizieren. Das deutet darauf hin, dass sie wahrscheinlich auch die ersten Apps waren, die im Rahmen dieser Überwachungskampagne eingeführt wurden. Sie geben bereits einen Einblick, welche demografische Zielgruppe die Kampagne im Visier hat.

Fazit

Spyware-Kampagnen zeigen, wie in Krisenzeiten unser angeborenes Informationsbedürfnis für böswillige Zwecke und gegen uns selbst genutzt werden kann. Darüber hinaus macht es die Kommerzialisierung von Spyware-Kits – die sozusagen „von der Stange“ zu haben sind - es böswilligen Akteuren ziemlich einfach, maßgeschneiderte Kampagnen fast so schnell zu starten wie sich eine Krise manifestiert. Die Apps waren übrigens nie im GooglePlay-Store verfügbar. Mehr denn je gilt also, möglichst keine Apps aus App-Stores von Drittanbietern herunterzuladen und nicht auf verdächtige Links zu „informativen“ Websites oder in Apps, die per SMS verbreitet werden, zu klicken.

Blog von Kristin del Rosso, Security Research Engineer
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Passwort Router

Die Top-10 der unsicheren Router-Passwörter

Ob öffentliches WLAN in einer Bar oder privates Funknetz in den eigenen vier Wänden: Router sind die Torwächter ins Netzwerk. Häufig setzen diese wichtigen Geräte beim Schutz vor unerlaubtem Zugriff lediglich auf ein Passwort, um auf die…
Mobile Security

Mobile Security im eigenen Unternehmen

Immer häufiger stellen Unternehmen einen Großteil ihrer IT-Landschaft auf mobile Endgeräte wie Tablets und Smartphones um. Um die Sicherheit interner Informationen zu gewährleisten, kommen viele Faktoren zum Tragen.
Contact-Tracing

Digitales Contact-Tracing: Vor- und Nachteile

Regierungen weltweit sehen sich mit einer weiterhin eskalierenden Krise konfrontiert und erarbeiten Pläne für das Pandemiemanagement. Dabei spielen auch die Vorteile digitaler Überwachungsnetze eine Rolle. 5G-Netze und schnellere Mobilfunkgeschwindigkeiten…
Netzwerk

ISPs unter Zugzwang

Seit den ersten Mobiltelefonen versprachen Mobilfunknetze die durchgehende Konnektivität. Aber die Realität sieht so aus, dass es immer noch Orte ohne Mobilfunknetzabdeckung gibt, und noch mehr Orte wie Wohnungen und Büros, an denen WLAN sinnvoller ist.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!