Cisco Talos entdeckt neuen Android-Trojaner
Täuschend echte Google Play Fake-App im Umlauf
Manche Entwickler mobiler Anwendungen meiden die traditionellen App-Stores. Das kommt Cyber-Kriminellen sehr entgegen, wie der neue Trojaner GPlayed beispielhaft zeigt. Diese als App getarnte Malware verwendet ein Symbol, das dem Logo des Google Play Store zum Verwechseln ähnlich sieht. Zudem nutzt sie den Namen "Google Play Marketplace", um sich zu tarnen. Was diese Malware unberechenbar macht, ist die Fähigkeit, sich nach der Bereitstellung zu verändern. Dazu hat der Entwickler die Möglichkeit eingerichtet, aus der Ferne Plugins zu laden, Skripte einzuspeisen und sogar einen neuen ausführbaren .NET-Code zu generieren.
"Das Fake-Apps immer wieder versuchen, durch gute Tarnung das Vertrauen der User zu gewinnen, ist nicht neu", sagt Holger Unterbrink, Security Researcher bei Talos. "Trotzdem ist diese Methode häufig sehr erfolgreich und im Falle dieser App für die Cyberkriminellen das Einfallstor auf die Devices der Betroffenen. Einmal installiert, können immer neue Schadcodes ausgeführt werden. Das macht diese Trojaner-App extrem gefährlich. Die User sollten also genau darauf achten, von wem die App herausgegeben wird und deren Echtheit verifizieren."
Laut Talos befindet sich der Trojaner noch in der Testphase. Trotzdem sollten Benutzer über die Gefahren informiert sein, die dieser und ähnliche Schadsoftware mit sich bringen. (Cisco Systems: ra)
eingetragen: 24.10.18
Newsletterlauf: 13.11.18
Cisco: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
- Anzeigen -
![]()
Meldungen: Hintergrund
Die Experten von Kaspersky stellen eine umfassende Untersuchung aller kürzlich eingeführten Updates der Spyware FinFisher für Windows, Mac OS und Linux sowie deren Installer vor. Die Analyse dauerte acht Monate und deckt unter anderem eine vierschichtige Verschleierungstaktik und fortschrittliche Anti-Analyse-Maßnahmen auf. Darüber hinaus verfügt die Spyware nun über ein UEFI-Bootkit, um Opfer zu infizieren. Die Ergebnisse deuten darauf hin, dass FinFisher stark auf die Umgehung von Verteidigungsmaßnahmen ausgerichtet ist, was die Malware zu einer der bisher am schwersten zu identifizierenden Spionagesoftware macht. FinFisher, auch als FinSpy oder Wingbird bekannt, ist ein Überwachungs-Tool, das Kaspersky seit dem Jahr 2011 verfolgt. Die Spyware kann verschiedene Anmeldeinformationen, Dateilisten und gelöschte Dateien sowie verschiedene Dokumente sammeln, Daten per Livestreaming übertragen und aufzeichnen sowie sich Zugriff auf eine Webcam und ein Mikrofon verschaffen. Seine Windows-Implants wurden bis zum Jahr 2018 mehrfach entdeckt und untersucht, bis FinFisher verschwunden zu sein schien.
Cybereason hat eine hochgradig zielgerichtete Cyber-Spionagekampagne aufdeckt, die sich gegen globale Luft-, Raumfahrt- und Telekommunikationsunternehmen richtet. Der neue Threat-Intelligence-Report von Cybereason identifiziert unter dem Namen MalKamak einen neuen iranischen Bedrohungsakteur. Dieser agiert seit mindestens 2018 und blieb lange unentdeckt. MalKamak nutzt einen sehr ausgeklügelten und bisher nicht entdeckten Remote-Access-Trojaner (RAT) namens ShellClient. Dieser umgeht Antiviren-Tools und andere Sicherheitsvorkehrungen und missbraucht den öffentlichen Cloud-Dienst Dropbox für das sogenannte Command & Control (C2), also die Kommunikation zwischen Angreifer und Opfer-Netzwerk. Die Angriffe dauern weiterhin an. Der Bericht mit dem Titel "Operation GhostShell: Novel RAT Targets Global Aerospace and Telecoms Firms" beschreibt die unbemerkten Angriffe auf Unternehmen im Nahen Osten, den Vereinigten Staaten, Europa und Russland. Die Untersuchungen zeigen mögliche Verbindungen zu mehreren iranischen, staatlich unterstützten Angreifergruppen, darunter Chafer APT (APT39) und Agrius APT, auf. Der Bericht knüpft an die Veröffentlichung des DeadRinger-Reports von Cybereason im August an, in dem mehrere chinesische APT-Kampagnen, ebenfalls gegen Telekommunikationsanbieter, aufgedeckt wurden.
Bei der Untersuchung einer noch unbekannten Advanced Persistence Threat (APT) identifizierten Kaspersky-Forscher eine neue Malware, die mehrere wichtige Attribute aufweist, die potenziell auf eine Verbindung zum Bedrohungsakteur DarkHalo hinweist, der für den Sunburst-Angriff verantwortlich ist. Dabei handelt es sich um einen der auswirkungsreichsten Supply-Chain-Attacken der vergangenen Jahre. Der Sunburst-Sicherheitsvorfall geriet im Dezember 2020 in die Schlagzeilen: Der Bedrohungsakteur DarkHalo kompromittierte einen bekannten Anbieter von Unternehmenssoftware und nutzte dessen Infrastruktur, um unter dem Deckmantel legitimer Software-Updates Spyware zu verbreiten. Danach schien der Akteur verschwunden zu sein. Denn nach Sunburst wurden keine größeren Vorfälle mehr entdeckt, die diesem Akteur zugeschrieben werden konnten. Die Ergebnisse der jüngsten Untersuchungen des Global Research and Analysis Teams (GReAT) bei Kaspersky zeigen jedoch, dass dies nicht der Fall ist.
"Diese neue Ransomware-as-a-Service-Familie BlackMatter steckt noch in den Kinderschuhen, aber unsere Ergebnisse deuten darauf hin, dass diese Ransomware in den Händen eines erfahrenen Angreifers großen Schaden anrichten kann." Mark Loman, Director of Engineering bei Sophos. In einer neuen Analyse geben die Experten der SophosLabs einen Einblick in die Ransomware BlackMatter: demnach bestehen Ähnlichkeiten zur DarkSide Ransomware-as-a-Service (RaaS) und zu anderen Malware-Gruppen wie REvil und LockBit 2.0. Viele Funktionen sind hierbei ähnlich, Details bleiben trotzdem individuell. Wie hängen BlackMatter und die DarkSide RaaS zusammen? Sophos veröffentlicht Details, die auf den Analysen der Sophos Labs zur BlackMatter Schadsoftware beruhen, sowie auf den Erkenntnissen, die das Rapid Response Team aus einem Vorfall zog, in den BlackMatter involviert war. Die Analyse beschreibt unter anderem neue, bislang unentdeckte Funktionen der BlackMatter Ransomware, wie sie die Dateiberechtigungen für jedes verschlüsselte Dokument zurücksetzt, um der Gruppe "Jeder" vollen Zugriff zu gewähren. Darüber hinaus geht es um Details, wie die Schadware über das gesamte Netzwerk verteilt wird sowie Informationen zu den Prozessen, die vor Bereitstellung der Ransomware beendet werden.
Cloud-Sicherheitsspezialistin Barracuda hat ihren jährlichen Bericht über die Entwicklung von Ransomware-Attacken veröffentlicht. Die aktuelle Untersuchung ist bereits der dritte Report und informiert über Ransomware-Angriffsmuster, die zwischen August 2020 und Juli 2021 stattfanden. Die Analysten des Unternehmens identifizierten und analysierten 121 Ransomware-Vorfälle in besagtem Zeitraum. Dabei verzeichneten sie einen Anstieg der Angriffe um 64 Prozent im Vergleich zum Vorjahr. Demnach haben es Cyberkriminelle vor allem auf Kommunen, das Gesundheitswesen sowie Bildungseinrichtungen abgesehen. Im Grunde können Angriffe jedoch jedes Unternehmen und jede Institution treffen, denn die Angriffe nehmen in jede Richtung zu. Folgende Erkenntnisse brachte der Report zutage: Knapp die Hälfte (44 Prozent) der Angriffe in den letzten zwölf Monaten betraf US-amerikanische Unternehmen. In Deutschland waren es drei Prozent, in Österreich und der Schweiz jeweils ein Prozent.
