Mobile Finanz-Malware mit Ransomware-Fähigkeit zielt erstmals auf englischen Sprachraum ab; auch deutschsprachige Nutzer bereits betroffen
Svpeng kombiniert die Funktionen einer Finanz-Malware mit Ransomware-Fähigkeiten
(27.06.14) - Am 8. Juni 2014 entdeckte Kaspersky Lab, dass der mobile Trojaner Svpeng nun auch Nutzer in den USA und Großbritannien, aber auch Anwender in Deutschland und der Schweiz angreift. Svpeng kombiniert die Funktionen einer Finanz-Malware mit Ransomware-Fähigkeiten, bei denen das Schadprogramm attackierte Smartphones mit einer Verschlüsselung sperrt und die Freigabe mit einer "Lösegeldzahlung" erpresst. Zum ersten Mal richtet Svpeng seine Aufmerksamkeit auf andere Märkte. Bisher war der mobile Trojaner in Russland sehr verbreitet und hat es dort auf das Geld der Anwender abgesehen.
Bereits eine Analyse von Kaspersky Lab aus November 2013 zeigte, dass der mobile Trojaner angegriffene Smartphones hinsichtlich der eingestellten Sprache überprüft. Dabei interessiert sich Svpeng für die Sprachen Russisch, Englisch und Deutsch.
"Bereits in den ersten Varianten von Svpeng wird auf dem infizierten Gerät die eingestellte Sprache auf Deutsch, Russisch und Englisch überprüft. Nachdem sich der Trojaner vom russischen in den englischen Sprachraum weiterentwickelt hat, erwarten wir in naher Zukunft auch eine Ausbreitung auf den deutschen Sprachraum", erklärt Christian Funk, Senior Virus Analyst bei Kaspersky Lab.
Bis dato stiehlt die Malware keine Anmeldeinformationen, aber dies ist nur eine Frage der Zeit. Denn Svpeng ist eine Modifikation eines sehr
bekannten Trojaners, der in Russland operiert und dort hauptsächlich zum Diebstahl von Geld eingesetzt wird. Zusätzlich tauchen im Code des Trojaners Anmerkungen zur Cryptor-Methode auf, so dass es wahrscheinlich ist, dass bald Verschlüsselungsversuche zum Einsatz kommen. In diesem Fall würde das Svpeng zur zweitbekanntesten mobilen Malware mit dieser Funktion direkt nach Pletor machen, der im Mai 2014 auftauchte.
Svpeng überprüft das Mobiltelefon eines Nutzers hinsichtlich bestimmter Finanz-Anwendungen. Womöglich tut er dies im Hinblick auf seine zukünftige Funktion, wenn er - wie jetzt schon bei russischen Bankkonten - damit beginnt, Login-Daten und Passwörter für das Online-Banking zu stehlen. Die englischsprachige Version von Svpeng fragt folgende Apps auf den Geräten der Opfer ab:
>> USAA Mobile
>> Citi Mobile
>> Amex Mobile
>> Wells Fargo Mobile
>> Bank of America Mobile Banking
>> TD App
>> Chase Mobile
>> BB&T Mobile Banking
>> Regions Mobile
Anschießend sperrt Svpeng den Bildschirm des Gerätes mit einer Nachahmung einer Straf-Benachrichtigung des FBI und fordert 200 US-Dollar in Form von Green Dot"s MoneyPak -Karten.91 Prozent der Attacken zielen derzeit auf englischsprachige Nutzer in den USA und Großbritannien ab. Die anderen 9 Prozent richten sich gegen Nutzer in Indien, Deutschland und der Schweiz. (Kaspersky Lab: ra)
Kaspersky Lab: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Meldungen: Aktuelle Meldungen
Eine Forschungsgruppe mit NetScout, Akamai, Cloudflare, Shadowserver, Black Lotus und anderen führenden IT-Sicherheitsgruppen hat gemeinsam einen Warnhinweis herausgegeben. Darin wird ein neuer DDoS-Vektor aufgedeckt, der Unternehmen im Finanzsektor, ISPs, Logistik, Glücksspiel und andere betrifft.
Die Sicherheitsforscher von Check Point Research (CPR) haben eine laufende Spionage-Operation aufgedeckt, die auf die afghanische Regierung zielt. Die Bedrohungsakteure, die einer chinesischsprachigen Gruppierung zugeordnet werden, gaben sich als das Büro des afghanischen Präsidenten aus, um den afghanischen Nationalen Sicherheitsrat (NSC) zu infiltrieren. Sie nutzten den Dienstleister für Datenaustausch namens Dropbox, um ihre Aktivitäten zu verschleiern. CPR geht davon aus, dass dies der jüngste Fall einer länger andauernden Operation ist, die bis ins Jahr 2014 zurückreicht und der auch die Regierungen von Kirgisistan und Usbekistan zum Opfer gefallen sind. Im April 2021 erhielt ein Beamter des Nationalen Sicherheitsrats Afghanistans eine E-Mail, die angeblich vom Büro des Präsidenten von Afghanistan stammte. Sie forderte den Empfänger auf, die Änderungen in dem Dokument im Zusammenhang mit einer bevorstehenden Pressekonferenz des NSC zu überprüfen.
Es gibt wieder verstärkt Aktivitäten der Dridex-Malware. Diese bereits einige Jahre alte Schadsoftware macht zurzeit in Excel-Dateien die Runde, die per Mail verschickt werden. Dabei hat der Schädling es vor allem auf Passwörter und andere Nutzerdaten abgesehen. "Wenn das Wochenende vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit deutlich nach. Das machen sich Kriminelle zunutze", sagt Tim Berghoff, Security Evangelist bei G Data CyberDefense. Die Schadsoftware mit dem Namen "Dridex" ist für G Data kein unbeschriebenes Blatt – bereits 2015 haben wir über diese Malware berichtet. Wie damals versteckt sich das Schadprogramm auch in diesem Fall in einer Office-Datei, getarnt als Versandbestätigung. Heruntergeladen wird die eigentliche Malware über ein eingebettetes Makro, welches sich hinter der "Drucken"-Funktion verbirgt.
Die Sicherheitsforscher von Check Point Software Technologies beobachten die Rückkehr eines alten Bekannten: des Backdoor-Trojaners Bandook. Zuletzt prominent wurde dieser durch die Malware-Kampagnen Operation Manul (2015) und Dark Caracal (2017). Nun scheint die Malware-Familie ein Revival zu feiern. Die Ziele, welche Check Point im Rahmen der neuen Kampagne identifizieren konnte, sind breit gefächert: Regierungs-, Finanz-, Energie-, Lebensmittel-, Gesundheits-, Bildungs-, IT- und Rechtseinrichtungen sind betroffen – unter anderem in Deutschland, der Schweiz und Italien. Dieses breite Spektrum lässt die Sicherheitsexperten darauf schließen, dass sich hinter den Angriffen nicht nur eine Hacker-Gruppierung im Alleingang verbirgt, sondern eine Organisation, welche Malware an verschiedene Bedrohungsakteure, wie staatliche Hacker, verkauft.
Kaspersky-Experten haben im Rahmen einer Untersuchungen festgestellt, dass die Dienstleistungs- und E-Commerce-Branche am stärksten von Phishing-Angriffen durch sogenannte ,Lookalikes‘ betroffen ist. So gingen im dritten Quartal 2020 35 Prozent aller Lookalike-Angriffe auf das Konto von Service- und E-Commerce-Anbieter – möglicherweise eine Folge der Corona-Pandemie, weil Anbieter derzeit verstärkt auf Online-Dienste setzen. Die Hälfte (50 Prozent) der gefälschten Domains werden dabei nur einmal verwendet, 73 Prozent sind auch nur einen Tag lang aktiv. Dies erschwert eine rechtzeitige Identifizierung. Durch eine automatisierte mehrschichtige Analyse können solche Angriffe – ohne die Notwendigkeit, manuell Domänenlisten zu erstellen – erkannt werden.
