Hervorragende Gelegenheit, Phishing-Locks zu erstellen
Corona: Fake-Apps imitieren Apps zur Kontaktverfolgung
Covid-19 bietet böswilligen Akteuren effektive neue Möglichkeiten
Von Sascha Spangenberg, Lookout
Tatsächlich ist es so, dass eine einzige App-basierte Malware-Kampagne über Dutzende oder sogar Hunderte infizierte Apps verbreitet werden kann. Häufig imitieren diese Apps bekannte und vertrauenswürdige Apps oder greifen Themen auf, die für die Angreifer interessant sind. Wie das Coronavirus und jetzt aktuell die Apps zur Nachverfolgung von Kontakten. Covid-19 bietet böswilligen Akteuren effektive neue Möglichkeiten. Bereits Anfang dieses Jahres beobachteten die Sicherheitsexperten von Lookout zwei verschiedene Kampagnen auf nationalstaatlicher Ebene. Die Akteure nutzten den enorm gestiegenen Informationsbedarf hinsichtlich des neuen Virus und verbreiteten mit Covid-19-bezogenen Apps kommerzielle Überwachungssoftware.
Immer mehr Länder führen entweder von den jeweiligen Landesregierungen gesponserte oder privat entwickelte Apps ein, um Kontaktpersonen zu ermitteln, um so weiterhin zu versuchen, das Infektionsgeschehen zu kontrollieren. Man kann deshalb davon ausgehen, dass in diesem Zusammenhang weitere Schad-Apps auftauchen werden. Soviel lässt sich aber zu den von Lookout beobachteten Apps sagen: keines der aktuellen Samples war zu irgendeinem Zeitpunkt im offiziellen Google Play Store zu finden. Benutzer sollten also nach wie vor davon absehen mobile Apps aus anderen als den seriösen App-Stores herunterzuladen.
Deutschland hat die Covid-19-App der Bundesregierung vorgestellt. Der TÜV Informationstechnik, eine Tochter der TÜV Nord Gruppe, der die App im Auftrag der Bundesregierung überprüft hat, hat allerdings vor einigen Tagen noch Bedenken wegen Sicherheitsmängeln geäußert. Die App zur Ermittlung von Kontaktpersonen reiht sich, wenn alles wunschgemäß verläuft, in eine Liste von über 25 Nationen ein, die bereits eine Smartphone-App eingeführt haben (oder dies planen), um die weitere Verbreitung des Virus einzudämmen. Bürgerinnen und Bürger werden ausdrücklich ermutigt, die App zu installieren. Fragen der Sicherheit, des Datenschutzes und der Effektivität rücken damit wieder stärker in den Fokus. Deutschland hat relativ früh das Potenzial erkannt, mittels dieser Technologie die Verbreitung des Corona-Virus einzudämmen. Vom 21. bis 23. März fand unter dem Hashtag #WirVsVirus ein Hackathon statt, bei dem mehr als 28.000 Teilnehmer Input lieferten. Das Crowdsourcing lieferte im Ergebnis rund 1.500 Ideen.
Deutschland unterstützte zusätzlich das für die PEPP-PT-Initiative (Pan-European Privacy-Preserving Proximity Tracing) verantwortliche EU-Konsortium. Es sorgte unter anderem für die Etablierung des PEPP-PT-Standards zur Erleichterung der digitalen Kontaktverfolgung. Der zentralisierte Datenverarbeitungsansatz des PEPP-PT-Standards stieß jedoch bei Datenschutzbefürwortern sehr schnell auf Kritik und löste erhebliches Misstrauen aus. Außerdem kämpfte man mit technischen Herausforderungen hinsichtlich des verwendeten Bluetooth-Protokolls auf mobilen Endgeräten. Nur unwesentlich später arbeiteten die beiden Branchengrößen Apple und Google an einem eigenen dezentralen Ansatz. Der führte schließlich zu einer Kehrtwendung der deutschen Bundesregierung und zur Unterstützung der neuen gemeinsamen Technologie.
Nach dem nicht ganz geradlinigen Weg ist jetzt, da die App veröffentlich wurde, die Frage der Benutzerakzeptanz wichtiger denn je. Damit Apps zur Kontaktverfolgung die erwünschte Wirkung überhaupt entfalten, schätzt man, dass 60 bis 70 Prozent der Bürger sie verwenden müssen. Dazu ist erstens ein mobiles Gerät erforderlich, das iOS oder Android als Betriebssystem verwendet. Zweitens sollten die Nutzer der Sicherheit der App und den datenschutzrechtlichen Grundlagen auch vertrauen. Die Datenschutzaspekte sind eingehend diskutiert und gut dokumentiert, Sicherheit generell verdient aber noch einiges an Aufmerksamkeit.
Worin also bestehen die Risiken? Grundsätzlich sollten Anwender sich im Klaren darüber sein, dass Hacker und Malware-Autoren die Covid-19-Krise sehr schnell als probates Mittel erkannt haben, die Geräte ihrer potenziellen Opfer zu infizieren. Angriffe, die sich gegen mobile Endgeräte richten, beginnen häufig mit der Weiterleitung eines Phishing-Links an einen ahnungslosen Benutzer. Ziel ist es entweder Daten zu stehlen oder eine Malware zu installieren, um Gerät und Netzwerk zu kompromittieren.
Covid-19 bietet nach wie vor eine hervorragende Gelegenheit, Phishing-Locks zu erstellen.
Das Thema ist hoch emotional, und es ist mit Ängsten, Dringlichkeit und einem nie gekannten Ausmaß an Informationshunger verknüpft. Im ersten Quartal 2020 verzeichnete das Sicherheitsunternehmen Lookout Tausende neuer Domainregistrierungen im Zusammenhang mit Covid-19 oder dem Coronavirus. Parallel dazu stieg die Zahl der Phishing-Angriffe um 6 Prozent, was weitgehend auf einen Anstieg der Kampagnen rund um Covid-19 zurückzuführen ist.
Unter dem Gesichtspunkt mobiler Anwendungen beobachtete Lookout zwei verschiedene Kampagnen auf nationalstaatlicher Ebene, die sich den enormen Informationsbedarf zum Coronavirus zu Nutze gemacht haben. Die Kampagnen verwendeten (unter anderem) Covid-19-bezogene Apps, um kommerzielle Überwachungsprogramme in der entsprechenden Qualität an ahnungslose Opfer zu verteilen. Dazu kamen eine hohe Zahl von weniger ausgefeilten Angriffen, bei denen Covid-19 ebenfalls Mittel zum Zweck war, und half die Ausbreitung solcher Programme zu beschleunigen.
Heißt das, dass die von der Bundesregierung und anderen Regierungen gesponserten Apps unsicher sind? Ganz und gar nicht. Die Gefahr geht vielmehr von Apps aus, die lediglich vorgeben bekannte und vertrauenswürdige Apps zu sein, oder solche, die angeblich Informationen oder Dienstleistungen bereitstellen, die für den Benutzer von Interesse sind. Diese betrügerischen Apps werden fast immer außerhalb der offiziellen Stores vertrieben. Dabei werden die Benutzer aufgefordert, die betreffende App direkt über in Umlauf gebrachte Phishing-Links zu installieren.
Immer mehr Länder entwickeln und veröffentlichen sogenannte Contact Tracer oder planen das zu tun. Parallel mit der Veröffentlichung werden die potenziellen Benutzer aktiv dazu angehalten, die App zu installieren und zu betreiben. In manchen Ländern oder Staaten ist sie sogar obligatorisch. Daher ist es mehr als wahrscheinlich, dass Malware-Autoren darin eine zusätzliche Chance sehen, um mit entsprechen Fake-Apps gutwillige Nutzer in die Falle zu locken. Um sicher zu gehen, sollte man Apps nur direkt aus vertrauenswürdigen Quellen und offiziellen App-Stores herunterladen. Keinesfalls sollte man auf unaufgefordert zugesandte Links klicken, unabhängig von dem Kanal, über den sie den Benutzer erreichen. Am besten verwendet man den Browser oder die App-Store-App, um den gewünschten Inhalt oder die gewünschte App zu finden. Wie gesagt, keines der von Lookout beobachteten infizierten App-Samples ist jemals in einem offiziellen App-Store wie Google Play aufgetaucht. Zu guter Letzt: Für den ultimativen Seelenfrieden sollte man nicht darauf verzichten eine seriöse mobile Sicherheitsanwendung herunterladen. (Lookout: ra)
eingetragen: 24.06.20
Newsletterlauf: 07.09.20
Lookout: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
