Der Sicherheitsanbieter Zimperium hat neue Erkenntnisse zu einer sicherheitskritischen Malware-Kampagne veröffentlicht. Sie kombiniert Funktionen zweier Schadprogramme: Aktuell werden sowohl Gigabud- als auch Spynote-Samples über Domänen mit ähnlichen Strukturen und Subdomains verbreitet. Ziel der weltweit koordinierten Phishing-Website-Kampagne ist die Installation bösartiger Mobil-Apps für verschiedene Finanzinstitute.
Der Banking-Trojaner Gigabud verleitet Benutzer dazu, sensible Berechtigungen freizugeben, was zu betrügerischen Transaktionen führt. Die Android-Malware Spynote ermöglicht es indes Angreifern, die volle Kontrolle über infizierte Mobilgeräte zu übernehmen. Sie verschaffen sich so Fernsteuerungsmöglichkeiten, um infizierte Geräte ausspähen, sensible Nutzerdaten mitlesen und Passwörter stehlen zu können. Das koordinierte Zusammenwirken von Gigabud und Spynote erhöht Zimperium zufolge die Bedrohungslage nicht nur für Endverbraucher, sondern auch für Geschäftsanwender, die mit einem kompromittierten Gerät arbeiten.
Die Analysen von Zimperium zeigen viele Überschneidungen zwischen beiden Malware-Familien auf. So werden Gigabud und Spynote über die gleichen Domains verbreitet, was eine koordinierte Vorgehensweise der gleichen Hinterleute nahelegt. Die Bedrohungsakteure nutzen Spynote, um Geräte fernzusteuern, Daten zu stehlen oder den Standort nachzuverfolgen. Mit Gigabud wiederum lassen sich die Anmeldedaten von Banking-Apps rauben.
Betroffen von der weltweiten Kampagne sind unterschiedliche Finanzinstitute, wobei die eingesetzten Phishing-Websites als Webplattformen großer Fluggesellschaften, E-Commerce-Plattformen und Regierungsstellen getarnt werden. Zimperium identifizierte elf Command-and-Control-Server und 79 Phishing-Websites, die vertrauenswürdige Anbieter kopierten. Die Domänen verleiten Benutzer dazu, bösartige Mobil-Apps herunterzuladen oder umfangreiche Berechtigungen zu erteilen, mit denen Angreifer vollen Zugriff auf mobile Endgeräte erhalten.
Mittlerweile verlagern die Bedrohungsakteure ihren Fokus immer stärker von gefälschten Behördenseiten auf vermeintlich legitime Angebote großer Finanzinstitute. Die Forscher entdeckten über 50 mobile Banking-Apps von mehr als 40 Banken und weitere zehn Kryptowährungsplattformen, die im Rahmen der Kampagne zum Einsatz kommen.
Die Malware wird durch den Packer „Virbox“ geschützt — das Packprogramm erschwert eine Erkennung und Analyse. Dadurch sollen herkömmliche Abwehrmaßnahmen umgangen und die Wirksamkeit der Bedrohung gesteigert werden.
„Das Zusammenspiel zwischen Gigabud und Spynote dokumentiert die wachsende Komplexität mobiler Malware-Angriffe”, betonte Nico Chiaraviglio, Chief Scientist bei Zimperium. „Unsere neuesten Forschungsergebnisse unterstreichen zugleich die Bedeutung von Echtzeit-Erkennungstechnologien, die Mobilgeräte gegen sich schnell entwickelnde Bedrohungen schützen.“
Kanban Boards sind mittlerweile in vielen Unternehmen ein unverzichtbares Werkzeug. Ursprünglich in der Automobilindustrie entwickelt,…
Cybersicherheitsagenturen und Behörden wie FBI, Cyber National Mission Force, NSA oder das NCSC haben Botnetz…
Die Netzwerkmanagement-Plattform HPE Aruba Networking Central ermöglicht jetzt auch die Überwachung von Drittanbietern-Netzwerkgeräten wie Cisco,…
Das Gerät soll weniger aufdringlich sein als ein iPhone. Ive führt sein neues Start-up zusammen…
Cybersecurity Rund um die Uhr können nur 33 Prozent der Unternehmen hierzulande gewährleisten. Die Studie…
BSI und Bitkom haben betroffene Unternehmen befragt. Fast die Hälfte musste zeitweise den Betrieb einstellen.