Anzeige

Spione abwehren

Die Experten von Kaspersky haben eine hochentwickelte und schädliche Kampagne entdeckt, die es explizit auf Nutzer von Android-Geräten abgesehen hat und vermutlich vom APT-Akteur ,OceanLotus' stammt. Die sogenannte ,PhantomLance'-Kampagne läuft seit mindestens 2015 und ist weiterhin aktiv.

Dabei kommen verschiedene Versionen komplexer Spyware, die für das Sammeln von Daten der Opfer entwickelt wurde, sowie smarte Verbreitungstaktiken - beispielsweise über Dutzende Apps im offiziellen Google-Play-Marktplatz - zum Einsatz.

Im Juli 2019 berichteten andere Sicherheitsexperten von einem neuen Spyware-Sample in Google Play. Die Untersuchung zog, wegen der unerwarteten Features, die Aufmerksamkeit von Kaspersky auf sich - das hochentwickelte Niveau und das Verhalten der Spyware hoben sich stark von anderen Trojanern ab, die für gewöhnlich in offiziellen App Stores zu finden sind. So konnten die Kaspersky-Forscher ein sehr ähnliches Sample dieser Malware auf Google Play finden.

Wenn es Entwicklern von Schadprogrammen gelingt, ihre schädliche App auf einen legitimen App Store zu laden, investieren sie normalerweise beträchtliche Ressourcen für die Bewerbung der App, um so die Anzahl der Installationen und damit auch die der Opfer zu erhöhen. Dies war bei diesen neu gefundenen schädlichen Apps jedoch nicht der Fall - die Hintermänner der Kampagne waren wohl nicht an einer Massenverbreitung interessiert. Für die Kaspersky-Experten war dies ein Hinweis auf eine zielgerichtete APT-Aktivität (Advanced Persistent Threat). Folgeuntersuchungen förderten weitere Versionen der Malware mit dutzenden Samples zu Tage, die über mehrere Ähnlichkeiten im Code miteinander in Verbindung standen.

Die Funktionalität all dieser Samples war ähnlich - der primäre Zweck der Spyware lag im Sammeln von Informationen. Während die Basisfunktionalität nicht sehr breit ausgerichtet und insbesondere auf Geolocation, Anruflisten sowie Zugang zu Kontakten und SMS lag, war die Anwendung zudem in der Lage, Informationen über die auf dem kompromittierten Gerät installierten Apps sowie Geräteinformationen wie Modell oder genutzte Betriebssystemversion zu sammeln. Darüber hinaus konnte der Bedrohungsakteur unterschiedliche schädliche Payloads downloaden und ausführen, die für die jeweilige Geräteumgebung, zum Beispiel die entsprechende Android-Version und die installierten Apps, angepasst waren. So vermied der Bedrohungsakteur, dass die Anwendung mit unnötigen Funktionen überlastet wird und sich so auf das Sammeln der anvisierten Informationen konzentrieren kann.

Ausgeklügelte Verbreitung über offizielle Quellen

Weitere Untersuchungen deuten auch darauf hin, dass PhantomLance in erster Linie auf verschiedenen Plattformen und Marktplätzen verbreitet wurde - darunter, aber nicht ausschließlich, auf Google Play und APKpure. Um Apps legitim erscheinen zu lassen, wurde fast immer bei der Verbreitung der Malware von den Hintermännern ein gefälschtes Entwicklerprofil durch die Erstellung eines dazugehörigen Github-Kontos aufgebaut. Um unter dem Radar der von den Marktplätzen verwendeten Filtermechanismen zu bleiben, enthielten die ersten Versionen der Anwendung, die vom Bedrohungsakteur auf den Marktplätzen hochgeladen wurden, keine bösartigen Payloads. Erst bei späteren Updates wurden die Apps um schädliche Payloads sowie einem Code zur Platzierung und Ausführung dieser erweitert.

Laut dem Kaspersky Security Network (KSN) wurden seit dem Jahr 2016 rund 300 Infektionsversuche auf Android-Geräten in Indien, Vietnam, Bangladesch und Indonesien festgestellt. Vietnam stach dabei als eines der Topländer in puncto versuchter Attacken hervor. Darüber hinaus wurden einige der schädlichen Apps, die während der Kampagne zum Einsatz kamen, ausschließlich in Vietnamesischer Sprache erstellt.

APT-Akteur OceanLotus steckt wohl hinter der Kampagne

Über die Kaspersky Malware Attribution Engine - ein internes Tool zur Identifizierung von Ähnlichkeiten zwischen schädlichen Codes - konnten die Forscher feststellen, dass die Payloads von PhantomLance mindestens 20 Prozent Ähnlichkeit zu einer älteren Android-Kampagne aufwiesen, die im Zusammenhang mit OceanLotus stand. Dabei handelt es sich um einen Akteur, der seit mindestens dem Jahr 2013 aktiv ist und es insbesondere auf Ziele in Südasien abgesehen hat. Des Weiteren kristallisierten sich wichtige Überschneidungen mit zuvor berichteten Aktivitäten von OceanLotus auf Windows und MacOS heraus. Daher gehen die Kaspersky-Forscher davon aus, dass die PhantomLance-Kampagne vermutlich mit OceanLotus in Verbindung steht.

Kaspersky hat die entdeckten Samples den Betreibern der legitimen App Stores gemeldet. Google Play hat bestätigt, die betroffenen Apps aus dem Marktplatz entfernt zu haben.

"Diese Kampagne ist ein bedeutendes Beispiel dafür, wie fortgeschrittene Bedrohungsakteure immer weiter abtauchen und so schwerer zu finden sind", konstatiert Alexey Firsh, Sicherheitsforscher GReAT (Global Research and Analysis Team) bei Kaspersky. "PhantomLance ist seit über fünf Jahren aktiv und die Bedrohungsakteure haben es geschafft, die Filter der App Stores mehrmals zu umgehen, indem sie fortschrittliche Techniken einzusetzen, um ihre Ziele zu erreichen. Wir sehen darüber hinaus, dass die Verwendung mobiler Plattformen als primärer Infektionspunkt immer beliebter wird und sich immer mehr Akteure in diesem Bereich weiterentwickeln. Diese Entwicklungen unterstreichen die Bedeutung einer kontinuierlichen Verbesserung der Bedrohungsinformationen und der unterstützenden Dienste, die dazu beitragen können, die Bedrohungsakteure aufzuspüren und Überschneidungen zwischen verschiedenen Kampagnen zu finden."

Privatanwender sollten eine verlässliche Sicherheitslösung wie Kaspersky Security Cloud zum Schutz vor Cyberbedrohungen einsetzen. Die darin enthaltene VPN-Lösung Kaspersky Secure Connection verhindert, dass Online-Aktivitäten nachvollzogen werden können. Außerdem werden die IP-Adresse sowie der Standort verschleiert und Daten werden über einen sicheren VPN-Tunnel übertragen.

Schutzmaßnahmen für Unternehmen:

  • Die verwendete Endpoint-Sicherheitslösung sollte mit einem Schutz für mobile Geräte wie zum Beispiel Kaspersky Security for Mobile ausgestattet sein. Denn damit wird gewährleistet, dass nur legitime Apps auf dem Unternehmensgerät installiert werden; ein Rooting-Schutz ermöglicht zudem das Blocken gerooteter Geräte oder das Entfernen von gespeicherten Unternehmensdaten auf diesen.
     
  • Security Operations Center (SOCs) sollten Zugang zu aktueller Threat Intelligence haben und sich mit den neuesten und ständig weiter entwickelnden Tools, Techniken und Taktiken der Bedrohungsakteure und Cyberkriminellen vertraut machen.
     
  • Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response kann Vorfälle frühzeitig erkennen und beheben.
     
  • Eine Sicherheitslösung für zielgerichtete Bedrohungen wie Kaspersky Anti Targeted Attack Platform  erkennt komplexe Angriffe frühzeitig auf Netzwerkebene.

Weitere Informationen zu PhantomLance sind verfügbar unter https://securelist.com/apt-phantomlance/96772/


Weitere Artikel

Cyberattack

Schul-Cloud des HPI durch Cyberangriffe lahmgelegt

Die Lernplattform Schul-Cloud des Hasso-Plattner-Institus (HPI) ist mit Cyberangriffen lahmgelegt worden.
Hacker

Die Schweizerische Post startet öffentliches Bug-Bounty-Programm mit YesWeHack

YesWeHack, Europas Crowdsourced-Security-Plattform, verkündet den Start eines öffentlichen Bug-Bounty-Programms für die Schweizerische Post.
B2B

Wie lassen sich B2B-Webshops an ERP-Systeme anbinden?

Der E-Commerce ist im B2B-Bereich nicht mehr wegzudenken, hat er doch gerade im letzten Jahr, durch den Corona-bedingten Digitalisierungsschub, enormen Aufschwung erfahren.
Security Lock

Bundeswirtschaftsministerium: TISiM stärkt sichere Digitalisierung in Mittelstand und Handwerk

TISiM – die Transferstelle IT-Sicherheit im Mittelstand gibt nach erfolgreicher Pilot-Phase, den Launch des Sec-O-Mats bekannt. Das Tool bündelt Handlungsempfehlungen aus einem breiten Spektrum an bestehenden Initiativen und Angeboten für kleine und mittlere…
Google Earth

Google Earth-Update - Timelapse zeigt Umweltveränderungen

Seit nunmehr als 15 Jahren können Nutzerinnen und Nutzer mit Google Earth auf virtuelle Weltreisen gehen und unseren Planeten aus unzähligen Perspektiven betrachten.
Amazon Prime

Amazon Prime knackt 200 Millionen Marke

Amazon hat die Marke von 200 Millionen Kunden in seinem Abo-Dienst Prime geknackt.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.