Anzeige

Spione abwehren

Die Experten von Kaspersky haben eine hochentwickelte und schädliche Kampagne entdeckt, die es explizit auf Nutzer von Android-Geräten abgesehen hat und vermutlich vom APT-Akteur ,OceanLotus' stammt. Die sogenannte ,PhantomLance'-Kampagne läuft seit mindestens 2015 und ist weiterhin aktiv.

Dabei kommen verschiedene Versionen komplexer Spyware, die für das Sammeln von Daten der Opfer entwickelt wurde, sowie smarte Verbreitungstaktiken - beispielsweise über Dutzende Apps im offiziellen Google-Play-Marktplatz - zum Einsatz.

Im Juli 2019 berichteten andere Sicherheitsexperten von einem neuen Spyware-Sample in Google Play. Die Untersuchung zog, wegen der unerwarteten Features, die Aufmerksamkeit von Kaspersky auf sich - das hochentwickelte Niveau und das Verhalten der Spyware hoben sich stark von anderen Trojanern ab, die für gewöhnlich in offiziellen App Stores zu finden sind. So konnten die Kaspersky-Forscher ein sehr ähnliches Sample dieser Malware auf Google Play finden.

Wenn es Entwicklern von Schadprogrammen gelingt, ihre schädliche App auf einen legitimen App Store zu laden, investieren sie normalerweise beträchtliche Ressourcen für die Bewerbung der App, um so die Anzahl der Installationen und damit auch die der Opfer zu erhöhen. Dies war bei diesen neu gefundenen schädlichen Apps jedoch nicht der Fall - die Hintermänner der Kampagne waren wohl nicht an einer Massenverbreitung interessiert. Für die Kaspersky-Experten war dies ein Hinweis auf eine zielgerichtete APT-Aktivität (Advanced Persistent Threat). Folgeuntersuchungen förderten weitere Versionen der Malware mit dutzenden Samples zu Tage, die über mehrere Ähnlichkeiten im Code miteinander in Verbindung standen.

Die Funktionalität all dieser Samples war ähnlich - der primäre Zweck der Spyware lag im Sammeln von Informationen. Während die Basisfunktionalität nicht sehr breit ausgerichtet und insbesondere auf Geolocation, Anruflisten sowie Zugang zu Kontakten und SMS lag, war die Anwendung zudem in der Lage, Informationen über die auf dem kompromittierten Gerät installierten Apps sowie Geräteinformationen wie Modell oder genutzte Betriebssystemversion zu sammeln. Darüber hinaus konnte der Bedrohungsakteur unterschiedliche schädliche Payloads downloaden und ausführen, die für die jeweilige Geräteumgebung, zum Beispiel die entsprechende Android-Version und die installierten Apps, angepasst waren. So vermied der Bedrohungsakteur, dass die Anwendung mit unnötigen Funktionen überlastet wird und sich so auf das Sammeln der anvisierten Informationen konzentrieren kann.

Ausgeklügelte Verbreitung über offizielle Quellen

Weitere Untersuchungen deuten auch darauf hin, dass PhantomLance in erster Linie auf verschiedenen Plattformen und Marktplätzen verbreitet wurde - darunter, aber nicht ausschließlich, auf Google Play und APKpure. Um Apps legitim erscheinen zu lassen, wurde fast immer bei der Verbreitung der Malware von den Hintermännern ein gefälschtes Entwicklerprofil durch die Erstellung eines dazugehörigen Github-Kontos aufgebaut. Um unter dem Radar der von den Marktplätzen verwendeten Filtermechanismen zu bleiben, enthielten die ersten Versionen der Anwendung, die vom Bedrohungsakteur auf den Marktplätzen hochgeladen wurden, keine bösartigen Payloads. Erst bei späteren Updates wurden die Apps um schädliche Payloads sowie einem Code zur Platzierung und Ausführung dieser erweitert.

Laut dem Kaspersky Security Network (KSN) wurden seit dem Jahr 2016 rund 300 Infektionsversuche auf Android-Geräten in Indien, Vietnam, Bangladesch und Indonesien festgestellt. Vietnam stach dabei als eines der Topländer in puncto versuchter Attacken hervor. Darüber hinaus wurden einige der schädlichen Apps, die während der Kampagne zum Einsatz kamen, ausschließlich in Vietnamesischer Sprache erstellt.

APT-Akteur OceanLotus steckt wohl hinter der Kampagne

Über die Kaspersky Malware Attribution Engine - ein internes Tool zur Identifizierung von Ähnlichkeiten zwischen schädlichen Codes - konnten die Forscher feststellen, dass die Payloads von PhantomLance mindestens 20 Prozent Ähnlichkeit zu einer älteren Android-Kampagne aufwiesen, die im Zusammenhang mit OceanLotus stand. Dabei handelt es sich um einen Akteur, der seit mindestens dem Jahr 2013 aktiv ist und es insbesondere auf Ziele in Südasien abgesehen hat. Des Weiteren kristallisierten sich wichtige Überschneidungen mit zuvor berichteten Aktivitäten von OceanLotus auf Windows und MacOS heraus. Daher gehen die Kaspersky-Forscher davon aus, dass die PhantomLance-Kampagne vermutlich mit OceanLotus in Verbindung steht.

Kaspersky hat die entdeckten Samples den Betreibern der legitimen App Stores gemeldet. Google Play hat bestätigt, die betroffenen Apps aus dem Marktplatz entfernt zu haben.

"Diese Kampagne ist ein bedeutendes Beispiel dafür, wie fortgeschrittene Bedrohungsakteure immer weiter abtauchen und so schwerer zu finden sind", konstatiert Alexey Firsh, Sicherheitsforscher GReAT (Global Research and Analysis Team) bei Kaspersky. "PhantomLance ist seit über fünf Jahren aktiv und die Bedrohungsakteure haben es geschafft, die Filter der App Stores mehrmals zu umgehen, indem sie fortschrittliche Techniken einzusetzen, um ihre Ziele zu erreichen. Wir sehen darüber hinaus, dass die Verwendung mobiler Plattformen als primärer Infektionspunkt immer beliebter wird und sich immer mehr Akteure in diesem Bereich weiterentwickeln. Diese Entwicklungen unterstreichen die Bedeutung einer kontinuierlichen Verbesserung der Bedrohungsinformationen und der unterstützenden Dienste, die dazu beitragen können, die Bedrohungsakteure aufzuspüren und Überschneidungen zwischen verschiedenen Kampagnen zu finden."

Privatanwender sollten eine verlässliche Sicherheitslösung wie Kaspersky Security Cloud zum Schutz vor Cyberbedrohungen einsetzen. Die darin enthaltene VPN-Lösung Kaspersky Secure Connection verhindert, dass Online-Aktivitäten nachvollzogen werden können. Außerdem werden die IP-Adresse sowie der Standort verschleiert und Daten werden über einen sicheren VPN-Tunnel übertragen.

Schutzmaßnahmen für Unternehmen:

  • Die verwendete Endpoint-Sicherheitslösung sollte mit einem Schutz für mobile Geräte wie zum Beispiel Kaspersky Security for Mobile ausgestattet sein. Denn damit wird gewährleistet, dass nur legitime Apps auf dem Unternehmensgerät installiert werden; ein Rooting-Schutz ermöglicht zudem das Blocken gerooteter Geräte oder das Entfernen von gespeicherten Unternehmensdaten auf diesen.
     
  • Security Operations Center (SOCs) sollten Zugang zu aktueller Threat Intelligence haben und sich mit den neuesten und ständig weiter entwickelnden Tools, Techniken und Taktiken der Bedrohungsakteure und Cyberkriminellen vertraut machen.
     
  • Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response kann Vorfälle frühzeitig erkennen und beheben.
     
  • Eine Sicherheitslösung für zielgerichtete Bedrohungen wie Kaspersky Anti Targeted Attack Platform  erkennt komplexe Angriffe frühzeitig auf Netzwerkebene.

Weitere Informationen zu PhantomLance sind verfügbar unter https://securelist.com/apt-phantomlance/96772/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Smart-Home

Handwerk profitiert vom Smart-Home-Boom

Das Smart Home wird in Deutschland beliebter: Schon 37 Prozent der Verbraucher haben in ihren eigenen vier Wänden mindestens eine Smart-Home-Lösung installiert – das entspricht 26 Millionen Bundesbürgern ab 16 Jahren. Besonders häufig sind intelligente…
KI

Bots machen Online-Geschäfte hinterhältiger

Viele Menschen neigen bei Online-Deals deutlich stärker zu unehrlichem oder trügerischem Verhalten, wenn ein Bot als Vermittler zwischen ihnen und ihren Handelspartnern agiert. Bei direkter Kommunikation mit einem menschlichen Gegenüber sind sie dagegen…
Facebook

Facebook übersieht 99 von 100 Fake News

Facebooks Faktenchecker spüren weniger als ein Prozent der auf der Plattform verbreiteten Fehlinformationen über das Coronavirus auf. Das macht häufig die deutlich strengere Regulierung von Google-Tochter YouTube zunichte.
Cyberkriminalität

Jeder Vierte Opfer von Cyberkriminalität

Jeder Vierte in Deutschland ist nach einer aktuellen Untersuchung bereits Opfer von Cyberkriminalität geworden. Am häufigsten ging es dabei um Internet-Betrug, wie aus einer Online-Befragung hervorgeht. Das «Digitalbarometer 2020» wurde am Montag in Berlin…
TikTok

Gericht setzt Download-Stopp für Tiktok in den USA aus

Die populäre Video-App Tiktok ist im letzten Moment einem Download-Stopp in den USA entgangen. Kurz bevor Tiktok aus den amerikanischen App Stores von Apple und Google verschwinden sollte, setzte ein Richter die Anordnung der US-Regierung per einstweiliger…
Spotify

Umfragen in Podcasts: Spotify testet "Polls"

Spotify testet mit dem Feature "Polls" momentan Umfragen innerhalb von Podcasts. Die neue Anwendung soll es Moderatoren ermöglichen, ihr Publikum live über verschiedene Themen abstimmen zu lassen. Sie haben dabei die komplette Kontrolle über die Fragen, die…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!