Neues Android Malware Framework verwandelt Apps in mächtige Spyware

Sicherheitsforscher haben ein neues, leistungsfähiges Android-Malware-Framework entdeckt, das von Cyberkriminellen genutzt wird, um legitime Anwendungen in Spyware mit umfangreichen Überwachungsfunktionen zu verwandeln – als Teil einer scheinbar gezielten Spionagekampagne.

Legitime Android-Anwendungen in Verbindung mit dem Malware-Framework, genannt Triout, bieten die Möglichkeit, infizierte Geräte auszuspionieren, indem sie Telefongespräche aufzeichnen und Textnachrichten überwachen, heimlich Fotos und Videos stehlen und Standortdaten sammeln – alles ohne das Wissen der Benutzer.

Der Stamm der Triout-basierten Spyware-Anwendungen wurde von den Sicherheitsforschern von Bitdefender am 15. Mai entdeckt, als eine Probe der Malware von jemandem aus Russland zu VirusTotal hochgeladen wurde, aber die meisten Scans kamen aus Israel.

In einem am Montag veröffentlichten Whitepaper (PDF) sagte der

Bitdefender-Forscher Cristofor Ochinca, dass die von ihnen analysierte Malwareprobe in einer bösartigen Version einer Android-App verpackt war, die 2016 bei Google Play verfügbar war, aber inzwischen entfernt wurde.

Die Malware ist extrem heimlich, da die neu verpackte Version der Android-App das Aussehen und das Gefühl der ursprünglichen App beibehielt und genau so funktioniert – in diesem Fall analysierte der Forscher eine App für Erwachsene namens Sex Game“, um ihre Opfer auszutricksen.

In Wirklichkeit enthält die App jedoch eine bösartige Triout-Payload, die über leistungsstarke Überwachungsfunktionen verfügt, die Daten über Benutzer stehlen und an einen von Angreifern kontrollierten Command and Control (C&C)-Server zurückschicken.

Nach Ansicht des Forschers kann Triout viele Spionageoperationen durchführen, sobald es ein System kompromittiert, einschließlich:

  • Jeder Anruf wird aufgezeichnet, in Form einer Mediendatei gespeichert und zusammen mit der Anruferkennung an einen entfernten C&C-Server gesendet.
  • Protokollierung jeder eingehenden SMS-Nachricht auf dem entfernten C&C-Server.
  • Senden aller Anrufprotokolle (mit Name, Nummer, Datum, Typ und Dauer) an den C&C-Server.
  • Senden jedes Bildes und Videos an die Angreifer, wenn der Benutzer ein Foto oder Video aufnimmt, entweder mit der Vorder- oder Rückfahrkamera.
  • Fähigkeit, sich auf dem infizierten Gerät zu verstecken.

Doch trotz der mächtigen Fähigkeiten der Malware fanden die Forscher heraus, dass die Malware keine Verschleierung verwendet, was den Forschern half, vollen Zugriff auf ihren Quellcode zu erhalten, indem sie lediglich die APK-Datei entpackten – das Vorschlagen der Malware ist ein Work-in-Progress.

Dies könnte darauf hindeuten, dass das Framework ein Work-in-Progress ist, mit Entwicklern, die Funktionen und Kompatibilität mit Geräten testen“, sagte Ochinca.

„Der C&C (Command and Control) Server, an den die Anwendung die gesammelten Daten zu senden scheint, ist seit Mai 2018 in Betrieb.

Obwohl die Forscher nicht herausfinden konnten, wie diese neu verpackte Version der legitimen Anwendung verteilt wurde und wie oft sie erfolgreich installiert wurde, glauben sie, dass die bösartige Anwendung den Opfern entweder von Drittanbietern oder von anderen von Angreifern kontrollierten Domains zur Verfügung gestellt wurde, die wahrscheinlich die Malware hosten.

Ochinca erklärt, dass das analysierte Triout-Sample noch mit einem authentischen Google Debug-Zertifikat signiert wurde.

Zu diesem Zeitpunkt deutet nichts darauf hin, wer die Angreifer sind und woher sie kommen, aber was klar ist, ist, dass die Angreifer hoch qualifiziert und voller Ressourcen sind, um eine ausgefeilte Form eines Spyware-Frameworks zu entwickeln.

Der beste Weg, sich davor zu schützen, Opfer solcher bösartiger Anwendungen zu werden, besteht darin, Anwendungen immer von vertrauenswürdigen Quellen wie dem Google Play Store herunterzuladen und sich nur an verifizierte Entwickler zu halten.

Das Wichtigste ist auch, dass Sie zweimal darüber nachdenken, bevor Sie einer Anwendung die Erlaubnis erteilen, Ihre Nachrichten zu lesen, auf Ihre Anrufprotokolle, Ihre GPS-Koordinaten und alle anderen Daten zuzugreifen, die Sie über die Sensoren des Androiden erhalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.