Lookout Security warnt vor einer Android-Malware, die sich als Werkzeug zum Schutz der Privatsphäre oder genauer als Online Reputation Management Tool ausgibt. SocialPath gibt vor, den Nutzer zu benachrichtigen, wann immer im Internet ein Foto von ihm hochgeladen wird. Stattdessen stiehlt es seine Daten.
Eine Variante des Programms fand sich unter dem Namen „Save Me“ in Google Play, wurde dort aber auf Lookouts Hinweis hin entfernt. Eine Infektion ist somit also nur noch möglich, wenn der Anwender einer Installation aus anderen Quellen in den Android-Einstellungen zugestimmt hat.
Die Google-Play-Variante hatte Lookout zufolge einen etwas anderen Zuschnitt und gab sich als Backup-Dienst aus, der etwa Fotos und Videos sichert. Ihr Versprechen: „Wenn Sie Ihr Smartphone verlieren, sind wenigstens die Inhalte noch da.“
Das Programm trifft bisher vor allem Anwender aus dem Sudan, wo es sich über eine Spamkampagne in Sozialen Netzen wie Twitter und Messaging-Apps wie WhatsApp verbreitet. Der Nutzer bekam einen vermeintlichen Hinweis auf ein privates Foto von ihm, kombiniert mit einem Bit.ly-Kurzlink. Diese Links hat Lookout untersucht und in einem Fall 5961 Klicks registriert, davon die meisten aus dem Libanon, gefolgt von Sudan und Oman. In diesen Ländern, aber auch Äquatorialguinea, Burkina Faso, Liberia und Malaysia ist es die derzeit häufigste Malware. Eine Code-Analyse deutet auf Entwickler aus dem arabischen Sprachraum hin.
Bei der Installation müssen Nutzer zahlreiche Daten angeben, darunter Klarnamen, E-Mail-Adresse, Telefonnummer, Wohnort und ein Porträt, das angeblich für die Identifikation benötigt wird. Der BootStartUpReceiver initiiert dann den Backend-Dienst und verbindet sich mit dem Kommandoserver. Ihm schickt er außer den abgefragten Daten auch sämtliche Kontakte, SMS-Nachrichten, Anrufprotokolle und Geräteinformationen.
Während der Registrierung zeigt die Malware noch ein Symbol im Launcher an, löscht es jedoch anschließend wieder, um auf dem Gerät verborgen zu bleiben. Auf Instruktion durch den Kommandoserver hin kann sie beliebige Nummern anrufen und nach einer vorgegebenen Zeit wieder auflegen. Lookout sieht dies in Verbindung mit Premium-Diensten als potenzielle Einnahmequelle. Der Anrufverlauf wird anschließend gelöscht.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
