Lookout: 30 Prozent aller Mobil-Malware stammen von zehn russischen Firmen

Fast ein Drittel aller Malware stammt von nur zehn russischen Hackergruppen. Diese „Malware-Hauptquartiere“ produzieren serienweise betrügerische Apps, die teure Telefonnummern anwählen oder hochpreisige SMS verschicken. Das berichtet Lookout Security auf der Veranstaltung Def Con in Las Vegas.

Die Sicherheitsforscher haben dieses Ökosystem studiert und den Geldkreislauf zurückverfolgt. Ihnen zufolge sind am Umsatz der Betrüger stark diejenigen Firmen beteiligt, die die Schadsoftware über ihre Websites unter Vorwänden verbreiten. Ein solcher Partner könne bis zu 12.000 Dollar pro Monat umsetzen, heißt es. Es gebe Tausende solcher „Vertriebspartner“.

Um Opfer zu finden und Traffic auf ihre Sites zu bringen, nutzen die Partner der Malware-Firmen häufig Twitter. Lookout hat eine halbe Million verdächtige Twitter-Konten untersucht und bei fast der Hälfte davon, nämlich 247.863 Konten, direkte Links auf Malware entdeckt.

„Wir sind nicht allzu begeistert von solchen Aktivitäten“, kommentierte Lookout-Gründer und -CFO Kevin Mahaffey gegenüber TechWeekEurope. „Wir können die laufende Polizeiarbeit nicht kommentieren. Aber wir sind stark motiviert, dies zu unterbinden.“

Während der eigentliche Schadcode die Spuren seiner Autoren mühevoll zu verwischen suche, seien die Werbemaßnahmen der Partner oft sehr plump, sagt Lookout-Mitarbeiter Ryan Smith. Sie nutzten zumeist anpassbare Malware-Bausätze. Um auf diese Weise Geld zu verdienen, brauche man keine großen technischen Kenntnisse, aber Geschick beim Bau von Webseiten, die denen von bekannten Angeboten wie Google Play, Skype oder Opera ähneln, um die Anwender zu täuschen.

Wenn die Seiten fertig seien, könne man den Feldzug auf Twitter starten. Die Profite der Beutezüge gingen dann teilweise in neue Malware, erklären die Sicherheitsforscher. Firmennamen nannten sie nicht. Die Operation selbst habe man aber „Dragon Lady getauft. Smith: „Wir haben ein großes Netz über diese Firmen geworfen. Wir überwachen derzeit Domains, die die Partner und die eigentlichen Malware-Entwickler nutzen.“

Zwecks Malware-Verbreitung erstellter Nachbau des russischen Google Play (Screenshot: Lookout)

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

52 Minuten ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

10 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

24 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

24 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

2 Tagen ago