Sicherheitsforscher von Bitdefender warnen vor einer neuen Variante der erstmals im August 2018 beschriebenen Android-Spyware Triout. Demnach hat sich die mobile Schadsoftware nun ein beliebtes Privatsphäre-Tool ausgesucht, um Nutzer zur Installation der Spionagesoftware zu verleiten.
Anfänglich setzten die Hintermänner noch auf eine gefälschte Version einer Porno-App, um Nutzer zur Installation der Schadsoftware zu bewegen. Nun muss eine speziell präparierte Version des Datenschutz-Tools Psiphon herhalten, das auch im Google Play Store erhältlich ist.
Dort zählt die App mehr als 50 Millionen Downloads. Allerdings ist sie auch außerhalb von Googles offiziellem Marktplatz erhältlich – vor allem in Ländern, in denen Google den Play Store nicht anbietet. Denn die App soll auch Nutzern helfen, Internetzensur zu umgehen, weswegen sie auch in Ländern mit repressiven Regierungen beliebt ist.
Diesen Umstand machten sich nun die Hintermänner von Triout zu Nutze, um die Verbreitung der Spyware zu erhöhen. Laut von Bitdefender veröffentlichten Screenshots sind die Unterschiede zwischen der echten und der gefälschten Psiphon-App kaum zu erkennen. Darüber hinaus soll sich die gefälschte wie das Original verhalten, um bei Nutzern keinen Verdacht zu erwecken.
Darüber hinaus scheint die gefälschte App sehr zielgerichtet eingesetzt zu werden. Bisher entdeckte Bitdefender sie nur auf sieben Geräten weltweit – fünf davon gehören Nutzern in Südkorea und Deutschland. Unklar ist allerdings noch, wie die Cyberkriminellen ihre Opfer dazu bringen, die gefälschte App zu installieren. Die Forscher vermuten, dass Spear-Phishing dabei eine Rolle spielt.
„Ob sie Social-Engineering-Techniken einsetzten, um die Opfer dazu zu bringen, die App von Marktplätzen Dritter zu installieren, oder ob sie eine Online-Kampagne vorbereiteten, die direkt auf eine begrenzte Anzahl von Nutzern ausgerichtet war, es ist an dieser Stelle ungewiss, wie die Opfer ausgewählt und infiziert wurden“, sagte Liviu Arsene, Senior E-Threat-Analyst bei Bitdefender.
Außer dem „Köder“ änderten die Hintermänner von Triout der Analyse zufolge auch weitere Details. So soll der Befehlsserver, an den die gesammelten Daten übertragen werden, eine IP-Adresse in Frankreich nutzen. Außerdem soll die Verteilung der Fake-App über die USA und nicht mehr wie bei früheren Varianten über Russland erfolgen. Von daher sei es auch weiterhin nicht möglich, die Hintermänner zu ermitteln, ergänzte Arsene.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
