Forscher von Cisco Talos haben einen neuen Remote-Access-Trojaner für Android namens WolfRAT entdeckt. Es handelt sich offenbar um eine Variante von DenDroid, dessen Quellcode 2015 durchgesickert war. Derzeit nimmt WolfRAT Nutzer von Messaging-Anwendungen wie WhatsApp, Facebook Messenger und Line ins Visier – vor allem in Thailand.
Wird jedoch eine Messenger-App wie WhatsApp benutzt, startet die Malware eine Screenshot-Funktion und zeichnet alle 50 Sekunden den Bildschirminhalt auf. Der Screenrecorder wird beendet, sobald WhatsApp wieder geschlossen wird.
Die Talos-Forscher Warren Mercer, Paul Rascagneres und Vitor Ventura vermuten hinter WolfRAT den Spyware-Händler Wolf Research. Laut VirusTotal verkauft die Organisation Überwachungstechnologien an Regierungen. Seine Lösungen sollen in der Lage sein, Windows, iOS und Android mit Schadsoftware zu infizieren. 2018 setzte die Gruppe auf gefälschte Benachrichtigungen zu Chrome Updates.
Auf die Spur von Wolf Research kamen die Forscher über den Befehlsserver von WolfRAT. Offiziell sei Wolf Research seit einiger Zeit geschlossen. Ehemalige Mitglieder seien aber wahrscheinlich noch aktiv. Zudem fanden die Forscher Bezüge zu einem in Zypern ansässigen Anbieter von Überwachungstechnik namens Coralco Tech.
Der Schadsoftware an sich bescheinigten die Forscher keine gute Qualität. Es gebe Überscheidungen im Code, ungenutzten Code und nicht genutzte Funktionen, Fehler bei der Verwaltung von Instanz-Klassen und instabile Pakete. Zudem hätten es sich die Hintermänner sehr einfach gemacht und vorhandene Opern-Source-Software zum Teil per Drag and Drop eingefügt.
„Wolf Research behauptete, ihren Betrieb eingestellt zu haben, aber wir sehen deutlich, dass ihre bisherige Arbeit unter einem Deckmantel weitergeführt wird“, kommentierten die Forscher. „Die Fähigkeit, diese Art von nachrichtendienstlichen Aktivitäten mit Hilfe von Telefonen durchzuführen, stellt für den Betreiber einen enormen Gewinn dar. Die Chat-Details, WhatsApp-Aufzeichnungen, Messenger und SMS enthalten einige sensible Informationen, und die Menschen scheinen diese zu vergessen, wenn die Kommunikation auf ihrem Telefon stattfindet.“
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…