- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Schadcode auf Mobilgeräten


Check Point veröffentlicht Details zur Android-Malware GlanceLove
Golden Cup, Wink Chat und Glance Love als Dropper und verhinderten so eine Erkennung des Angriffes durch Google


- Anzeigen -





Check Point Software Technologies hat nach dem Bekanntwerden von Cyberattacken gegen israelische Soldaten eine der eingesetzten Schädlinge untersucht. GlanceLove ist eine Android-Malware die Schadcode auf Mobilgeräte schleust. Der Name GlanceLove leitet sich von der Chat-App "Glance Love" ab, einer scheinbar legitimen Dating-App, die jedoch hauptsächlich dazu diente, Schadcode auf die Endgeräte zu schleusen. Die meisten Angriffe wurden allerdings mit einer App namens "Golden Cup" gefahren. Hierbei handelte es sich um eine Fußball-App zur WM, die ebenfalls funktionsfähig im Google Play Store verfügbar war und die Sicherheitsprüfungsmechanismen von Google umgehen konnte. Außerdem sind Angriffe über das Chatprogramm "Wink Chat" bekannt.

Alle drei Programme haben eine echte Funktion und wurden über Facebook und E-Mail-Kampagnen beworben. Der verseuchte Inhalt der GlanceLove-Malware wurde immer erst nach der Installation nachgeladen. Der Nutzer musste also die Sicherheitsfreigaben zur Nutzung der Apps erteilen und die dann durch die Schadsoftware missbraucht werden können. Dabei dienen Golden Cup, Wink Chat und Glance Love als Dropper und verhinderten so eine Erkennung des Angriffes durch Google.

Der Aufbau und die Struktur der Angriffe und der Schadsoftware sind komplex. Check Point geht davon aus, dass die Hintermänner umfangreiche Kenntnisse im Bereich Cyberangriffe haben. Entsprechend potent ist der Schädling. Das verdeutlichen nicht nur die aufwendigen Tarnmechanismen, sondern auch die unterschiedlichen Möglichkeiten zum Nachladen unterschiedlicher Malwarearten. So kann beispielsweise eine weitere Kompetente – eine apk-Datei – nachgeladen werden. Dieses File ist die größte Komponente der Malware und besitzt somit auch die meisten Fähigkeiten.

GlanceLove erlaubt unter anderem folgende Angriffsszenarien:

>> Aufzeichnung der Anrufe
>> Auslesen des Gerätestandorts
>> Audioaufzeichnung über das Mikrofon
>> Lautlose Fotoaufnahme und Versendung der Bilder
>> Speicherzuordnung: Die Malware sammelt die Liste aller Speicherverzeichnisse, einschließlich Dateinamen und -größen.
>> Abgreifen der Kontaktinformationen: Die Malware sammelt Informationen aus dem Kontaktverzeichnis des Nutzers. Es speichert die Namen des Kontakts, die dazugehörige Nummer und die Zeit, zu der der Nutzer ihn zuletzt kontaktiert hat.

GlanceLove sorgte besonders im Zuge der Fußball-WM für viele Infektionen. Unter anderem die erwähnten Angriffe gegen die israelische Armee. Dort wurden etwa 100 Soldaten Opfer einer Attacke. Laut Check Point dienten die Attacken zur Informationsgewinnung. (Check Point Software Technologies: ra)

eingetragen: 21.07.18
Newsletterlauf: 14.08.18

Check Point Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Emotet: Allzweckwaffe des Cybercrime

    Die Emotet-Schadsoftware wird derzeit über gefälschte Amazon-Versandbestätigungen verteilt. G Data erklärt, was hinter der Malware steckt und warum sie so gefährlich ist. Emotet ist eine der langlebigsten und professionellsten Cybercrime-Kampagnen der vergangenen Jahre. Erstmals im Jahr 2014 als Banking-Trojaner entdeckt hat die Malware sich über die Jahre zu einer umfassenden Lösung für das Cybercrime entwickelt. Die Schadsoftware nimmt dabei in der Regel nur die Funktion des Türöffners ein, der dann weiteren Schadcode auf dem Rechner installiert. Aktuell wird Emotet über sehr gut gefälschte Amazon-E-Mails verteilt, die Nutzer zum Herunterladen eines Word-Dokuments nötigen wollen. Nach einem Klick auf den angeblichen Tracking-Link öffnet sich das Word-Dokument, das Nutzer auffordert, aktive Inhalte zuzulassen und dann die Infektion des PCs veranlasst.

  • Überwachungs- & Verfolgungsoperationen

    Im Dezember 2018 identifizierte FireEye APT39 als eine iranische Cyber-Spionagegruppe, die mit dem weitreichenden Diebstahl persönlicher Daten in Verbindung steht. Seit November 2014 hat FireEye Aktivitäten im Zusammenhang mit dieser Gruppe verfolgt, um Organisationen vor APT39 zu schützen. Mit ihrem Fokus auf personenbezogenen Daten unterscheidet sich APT39 von anderen iranischen Gruppen, die FireEye beobachtet und die mit Einflussoperationen, Störungsangriffen und anderen Bedrohungen in Verbindung stehen. Mit dem Fokus auf personenbezogene Daten soll APT39 wahrscheinlich Überwachungs- und Verfolgungsoperationen im nationalen Interesse des Irans unterstützen, oder zusätzliche Zugangsmöglichkeiten und -Vektoren für spätere Kampagnen vorbereiten.

  • Zukunft von unentdeckter Malware

    Malwarebytes veröffentlichte die Studie "Unter dem Radar - die Zukunft von unentdeckter Malware" und beleuchtet darin einige der neuesten Bedrohungen in diesem Bereich für Unternehmen: Emotet, TrickBot, Sobretec, SamSam und PowerShell. Widerstandsfähigkeit und Erkennungsvermeidung als neuer Fokus: Die stetige Weiterentwicklung von Cyberkriminalität ist eine Konstante in unserer heutigen digitalen Welt. Fast täglich gibt es Nachrichten von neuen Angriffsmethoden, einer neuen Angriffsstrategie oder einer Taktik, mit der Cyberkriminelle Benutzer infizieren, ihre Lebensgrundlage gefährden und oder ganz allgemein Chaos anrichten. Um ihren Profit zu steigern, wollen Cyberkriminellen Endpunkte zielgerichtet und vollständig besetzen. Sie haben das Ziel, Endpunkte unbemerkt zu infizieren, sowohl in dem Moment der ersten Gefährdung, als auch bei allen weiteren Versuchen, den Endpunkt zu besetzen.

  • Wesentlich effizientere DDoS-Bots

    Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von Asert, ein Team aus Sicherheitsspezialisten des Unternehmens Netscout Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen.Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das Big Data-Anwendungen verarbeitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich.

  • Hacker gehen auf Butterfahrt

    GuardiCore hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die "Butter" genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt. GuardiCore entwickelt IT-Sicherheitstechnologien und erstellt mit einem weltweiten Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen.