VORSCHAU
PRESSETERMINE

AKTUELLES PRESSEFOTO



WETTER
Graz: bedeckt
24°
Innsbruck: Regen
22°
Linz: Regen
22°
Wien: bedeckt
20°
© wetter.net

Stadtname / PLZ

AKTIENKURSE
 
HIGHTECH
Do, 13.06.2024 11:30
Meldung drucken Artikel weiterleiten
pts20240613016 Technologie/Digitalisierung, Forschung/Entwicklung
Pressefach Pressefach

Hackergruppe greift Nutzer über gefakte Apps im Nahen Osten an

ESET enthüllt abgeschlossene und aktive Spyware-Kampagnen

Jena (pts016/13.06.2024/11:30) - Forscher des IT-Sicherheitsherstellers ESET haben eine Android-Malware namens AridSpy entdeckt. Die Spyware kann Messaging-Apps überwachen und sensible Inhalte vom Gerät stehlen. Sie kam in fünf Hacking-Kampagnen zum Einsatz. Ziel der Hacker sind Benutzerdaten von den Geräten ihrer Opfer. Die Schadsoftware wurde sowohl in Palästina als auch in Ägypten gefunden und der Arid Viper APT-Gruppe zugeordnet. AridSpy ist 2022 zum ersten Mal in Aktion getreten und zum Teil noch aktiv. Der ferngesteuerte Trojaner wurde über fünf spezielle Webseiten verbreitet und tarnte sich oftmals als legitime, funktionstüchtige Apps.

"Besonders gemein an der Schadsoftware ist ihre Tarnfähigkeit", erklärt ESET-Forscher Lukáš Štefanko, der AridSpy entdeckt hat. "AridSpy kann sich deaktivieren, um eine Netzwerkerkennung zu vermeiden und lädt zudem seine Nutzdaten von einem Command & Control Server herunter, um einer Entdeckung zu entgehen."

AridSpy: Spionage-Software mit weitreichenden Möglichkeiten

AridSpy sammelt verschiedene Daten, darunter Gerätestandort, Kontaktlisten, Anrufprotokolle, Textnachrichten, Fotos, Videos und aufgezeichnete Telefonanrufe. Darüber hinaus kann die Spyware auf die Kamera zugreifen, um Fotos zu erstellen und an die Hacker weiterleiten. Zudem erfasst sie WhatsApp-Datenbanken, Lesezeichen, Suchverläufe und Dateien aus dem externen Speicher.

Ziel der Hacker: Nutzerdaten aus Ägypten und Palästina

Fünf Kampagnen starteten 2022, drei sind immer noch aktiv. Jede startet mit dem Versuch, die Opfer zur Installation einer gefälschten, aber funktionalen App zu bringen. Dazu teilen die Kriminellen beispielsweise Links zu schadhaften Webseiten. Diese imitieren verschiedene Apps, darunter Messenger-Dienste und eine Anwendung, die bei Behördengängen unterstützen soll. Beim Klick auf den Download-Button wird ein Skript ausgeführt, das den Download-Pfad für die schädliche Datei generiert.

Nach der Installation der Apps reicht ein Befehl vom Command & Control (C&C) Server aus, um die Datenexfiltration zu beginnen. Auch bestimmte Ereignisse wie beispielsweise Veränderungen in der Internetverbindung, Anrufe, SMS-Nachrichten, das Anschließen oder Trennen des Ladegeräts und ein Geräteneustart können den Datenraub einleiten.

Betroffene Apps

Eine Kampagne beinhaltete LapizaChat, eine trojanisierte Variante der legitimen StealthChat-App. Zwei weitere Kampagnen verbreiteten AridSpy als NortirChat und ReblyChat. NortirChat basiert auf der gleichnamigen legitimen Session-Messaging-App, während ReblyChat den Messenger "Voxer Walkie Talkie" imitiert.

Eine gefälschte Behörden-App nutzt den legitimen Server der ursprünglichen Anwendung, um Informationen abzurufen. Wahrscheinlich hat Arid Viper die Original-App zurückentwickelt (engl.: reverse engineered) und den Server genutzt, um Daten ihrer Opfer zu stehlen. Eine weitere Kampagne verbreitet AridSpy als App für Jobangebote.

Verbreitung über inoffizielle Quellen

Die betroffenen Apps sind nicht im Google Play Store verfügbar und lassen sich nur über Drittanbieter-Webseiten herunterladen. Um sie überhaupt auf das Gerät aufspielen zu können, muss die Option zur Installation von Apps aus unbekannten Quellen aktiviert sein. Die Mehrheit der in Palästina registrierten Spionagefälle stammte von der gefälschten Behörden-App.

Über Arid Viper
Arid Viper, auch bekannt als APT-C-23, Desert Falcons oder Two-tailed Scorpion, ist eine Cyberspionage-Gruppe, die dafür bekannt ist, Länder im Nahen Osten ins Visier zu nehmen. Die Gruppe hat im Laufe der Jahre durch ihr breites Arsenal an Malware für Android-, iOS- und Windows-Plattformen auf sich aufmerksam gemacht.

Für weitere technische Informationen lesen Sie den Blogpost "Arid Viper infiziert Android-Anwendungen mit AridSpy-Spyware ( https://www.welivesecurity.com/de/eset-research/arid-viper-infiziert-android-anwendungen-mit-aridspy-spyware )".

(Ende)

Aussender: ESET Deutschland GmbH
Ansprechpartner: Philipp Plum
Tel.: +49 3641 3114 141
E-Mail:
Website: www.eset.de
ESET Deutschland GmbH
   
Wie fanden Sie diese Meldung?
Weitersagen
likes dislike Share Share |
Social Media
ETARGET

FOCUSTHEMA


SPECIALS


Werbung
middleAdvertising