Lookout Security warnt vor einer Android-Malware, die sich als Werkzeug zum Schutz der Privatsphäre oder genauer als Online Reputation Management Tool ausgibt. SocialPath gibt vor, den Nutzer zu benachrichtigen, wann immer im Internet ein Foto von ihm hochgeladen wird. Stattdessen stiehlt es seine Daten.
Eine Variante des Programms fand sich unter dem Namen „Save Me“ in Google Play, wurde dort aber auf Lookouts Hinweis hin entfernt. Eine Infektion ist somit also nur noch möglich, wenn der Anwender einer Installation aus anderen Quellen in den Android-Einstellungen zugestimmt hat.
Die Google-Play-Variante hatte Lookout zufolge einen etwas anderen Zuschnitt und gab sich als Backup-Dienst aus, der etwa Fotos und Videos sichert. Ihr Versprechen: „Wenn Sie Ihr Smartphone verlieren, sind wenigstens die Inhalte noch da.“
Das Programm trifft bisher vor allem Anwender aus dem Sudan, wo es sich über eine Spamkampagne in Sozialen Netzen wie Twitter und Messaging-Apps wie WhatsApp verbreitet. Der Nutzer bekam einen vermeintlichen Hinweis auf ein privates Foto von ihm, kombiniert mit einem Bit.ly-Kurzlink. Diese Links hat Lookout untersucht und in einem Fall 5961 Klicks registriert, davon die meisten aus dem Libanon, gefolgt von Sudan und Oman. In diesen Ländern, aber auch Äquatorialguinea, Burkina Faso, Liberia und Malaysia ist es die derzeit häufigste Malware. Eine Code-Analyse deutet auf Entwickler aus dem arabischen Sprachraum hin.
Bei der Installation müssen Nutzer zahlreiche Daten angeben, darunter Klarnamen, E-Mail-Adresse, Telefonnummer, Wohnort und ein Porträt, das angeblich für die Identifikation benötigt wird. Der BootStartUpReceiver initiiert dann den Backend-Dienst und verbindet sich mit dem Kommandoserver. Ihm schickt er außer den abgefragten Daten auch sämtliche Kontakte, SMS-Nachrichten, Anrufprotokolle und Geräteinformationen.
Während der Registrierung zeigt die Malware noch ein Symbol im Launcher an, löscht es jedoch anschließend wieder, um auf dem Gerät verborgen zu bleiben. Auf Instruktion durch den Kommandoserver hin kann sie beliebige Nummern anrufen und nach einer vorgegebenen Zeit wieder auflegen. Lookout sieht dies in Verbindung mit Premium-Diensten als potenzielle Einnahmequelle. Der Anrufverlauf wird anschließend gelöscht.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…