Sicherheitsforscher von Bitdefender warnen vor einer neuen Variante der erstmals im August 2018 beschriebenen Android-Spyware Triout. Demnach hat sich die mobile Schadsoftware nun ein beliebtes Privatsphäre-Tool ausgesucht, um Nutzer zur Installation der Spionagesoftware zu verleiten.
Anfänglich setzten die Hintermänner noch auf eine gefälschte Version einer Porno-App, um Nutzer zur Installation der Schadsoftware zu bewegen. Nun muss eine speziell präparierte Version des Datenschutz-Tools Psiphon herhalten, das auch im Google Play Store erhältlich ist.
Dort zählt die App mehr als 50 Millionen Downloads. Allerdings ist sie auch außerhalb von Googles offiziellem Marktplatz erhältlich – vor allem in Ländern, in denen Google den Play Store nicht anbietet. Denn die App soll auch Nutzern helfen, Internetzensur zu umgehen, weswegen sie auch in Ländern mit repressiven Regierungen beliebt ist.
Diesen Umstand machten sich nun die Hintermänner von Triout zu Nutze, um die Verbreitung der Spyware zu erhöhen. Laut von Bitdefender veröffentlichten Screenshots sind die Unterschiede zwischen der echten und der gefälschten Psiphon-App kaum zu erkennen. Darüber hinaus soll sich die gefälschte wie das Original verhalten, um bei Nutzern keinen Verdacht zu erwecken.
Darüber hinaus scheint die gefälschte App sehr zielgerichtet eingesetzt zu werden. Bisher entdeckte Bitdefender sie nur auf sieben Geräten weltweit – fünf davon gehören Nutzern in Südkorea und Deutschland. Unklar ist allerdings noch, wie die Cyberkriminellen ihre Opfer dazu bringen, die gefälschte App zu installieren. Die Forscher vermuten, dass Spear-Phishing dabei eine Rolle spielt.
„Ob sie Social-Engineering-Techniken einsetzten, um die Opfer dazu zu bringen, die App von Marktplätzen Dritter zu installieren, oder ob sie eine Online-Kampagne vorbereiteten, die direkt auf eine begrenzte Anzahl von Nutzern ausgerichtet war, es ist an dieser Stelle ungewiss, wie die Opfer ausgewählt und infiziert wurden“, sagte Liviu Arsene, Senior E-Threat-Analyst bei Bitdefender.
Außer dem „Köder“ änderten die Hintermänner von Triout der Analyse zufolge auch weitere Details. So soll der Befehlsserver, an den die gesammelten Daten übertragen werden, eine IP-Adresse in Frankreich nutzen. Außerdem soll die Verteilung der Fake-App über die USA und nicht mehr wie bei früheren Varianten über Russland erfolgen. Von daher sei es auch weiterhin nicht möglich, die Hintermänner zu ermitteln, ergänzte Arsene.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Über drei Millionen Angriffsversuche unter Deckmantel von Minecraft / YouTube-Star Mr. Beast als prominenter Köder
Die Prognose für die Anfahrt bezieht das Verkehrsaufkommen, die Stellplatzverfügbarkeit sowie die Lenk- und Ruhezeiten…
Unternehmen können mit Casebase Portfolio an Daten- und KI-Anwendungsfällen organisieren.
Smart-TV oder Saugroboter: Nutzer schützen ihre smarten Heimgeräte zu wenig, zeigt eine repräsentative BSI-Umfrage.
Im Benchmark erreicht der neue Core Ultra 200V eine Laufzeit von 14 Stunden. Intel tritt…
Jeder dritte hält sich damit für unsichtbar. Wie widersprüchlich unser Datenschutzverhalten oft ist, zeigt eine…
