- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Android Remote Administration Tools (RATs)


Eset warnt vor HeroRat: Mobile Malware verwandelt Android-Smartphones in digitale Wanzen
Android Remote Administration Tool-Familie missbraucht beliebten Messenger Telegram

- Anzeigen -





Eset warnt vor der mobilen Malware "HeroRat". Sie nutzt das Protokoll des beliebten Messengers Telegram, um Kontrolle über Android-Smartphones zu erlangen und sie fernzusteuern. Der gefährliche Schädling ist Teil einer ganzen Familie von Android RATs (Remote Administration Tools), die Eset-Sicherheitsforscher bereits im August 2017 entdeckt hatten. Im März dieses Jahres wurde der Quellcode kostenlos in verschiedenen Telegram-Hacking-Kanälen verfügbar gemacht. Daraus entwickelten sich dann parallel Hunderte Varianten der Malware, die sich nun in freier Wildbahn im Umlauf befinden.

Trotz des frei verfügbaren Quellcodes unterscheidet sich die Variante HeroRat signifikant von den anderen und ist daher besonders bedrohlich. In Hackerkreisen hat die Malware bereits eine zweifelhafte Berühmtheit erlangt und wird in einem eigenen Hacking-Kanal zu Telegram angeboten. HeroRat ist je nach Funktionalität in drei Preismodellen erhältlich und verfügt über einen Video-Support-Kanal. Es ist unklar, ob diese Variante aus dem durchgesickerten Quellcode erstellt wurde, oder ob es sich hierbei sogar um das "Original" handelt, dessen Quellcode durchgesickert ist.

Wie funktioniert das RAT?
Angreifer animieren die Opfer das RAT herunterzuladen, indem sie es unter verschiedenen attraktiv klingenden Schein-Apps, über App Stores von Drittanbietern, Social Media und Messaging Apps verbreiten. "Wir haben die Malware als Apps gesehen, die kostenlose Bitcoins, kostenlose Internetverbindungen und zusätzliche Anhänger in sozialen Medien versprechen", erläutert Lukas Stefanko, Malware Forscher bei Eset. Auf Google Play sei die Malware noch nicht aktiv.

Der Schädling läuft auf allen Android-Versionen. Bevor er aktiv werden kann, müssen Nutzer jedoch von der App benötigten Berechtigungen akzeptieren. Nachdem die Malware auf dem Gerät des Opfers installiert und gestartet wurde, erscheint ein Popup. Es behauptet, dass die Anwendung auf dem Gerät nicht ausgeführt werden kann und daher deinstalliert wird. "In den von uns analysierten Varianten erscheint vermeintliche Deinstallationsmeldung je nach Spracheinstellung des Zielgerätes in Englisch oder Persisch", so Stefanko. Nachdem die Deinstallation scheinbar abgeschlossen ist, verschwindet das Symbol der Anwendung. Auf der Seite des Angreifers wird jedoch genau zu diesem Zeitpunkt das befallene Smartphone als neues Opfergerät registriert.

Nachdem der Angreifer Zugriff auf das Gerät des Opfers erhalten hat, nutzt er die Bot-Funktionalität von Telegram. So kann er das befallene Gerät selbst steuern und nahezu beliebig manipulieren. Denn die Malware verfügt über eine breite Palette von Spionage- und Datei-Filterfunktionen. Dazu zählen neben dem Abfangen von Textnachrichten und Kontakten das Senden von Textnachrichten und Anrufen, Audio- und Bildschirmaufzeichnungen, das Abrufen der Geräteposition und die Steuerung der Geräteeinstellungen. Das Opfer bemerkt davon nichts. Die Übertragung von Befehlen an die kompromittierten Geräte und die Übermittlung von sensiblen Daten an die Hacker werden vollständig über das Telegrammprotokoll abgedeckt. Diese Tarnung verhindert geschickt, dass die Malware aufgrund des Datenverkehrs zu bekannten Upload-Servern entdeckt wird.

So bleiben Android-Nutzer sicher
Mit dem kürzlich kostenlos zur Verfügung gestellten Quellcode der Malware konnten bereits neue Mutationen entwickelt und weltweit eingesetzt werden. Da die Verteilungsmethode und die Form der Tarnung dieser Malware von Fall zu Fall variiert, reicht es nicht aus, wenn mobile Anwender das Gerät auf das Vorhandensein bestimmter Anwendungen überprüfen, um festzustellen, ob Ihr Gerät kompromittiert wurde. Um eine Gefährdung auszuschließen, empfiehlt sich der Scan mit einer zuverlässigen mobilen Sicherheitslösung. Eset-Lösungen erkennen und blockieren diese Bedrohung als Android/Spy.Agent.AMS und Android/Agent.AQO.

Um nicht Opfer von Android-Malware zu werden, sollten Nutzer Apps ausschließlich aus vertrauenswürdigen Quellen wie dem offiziellen Google Play-Store herunterladen. Vor dem Download von Apps empfiehlt sich ein Blick in die Benutzerbewertungen. Nicht zuletzt sollten Anwender darauf achten, welche Berechtigungen sie den Apps vor und nach der Installation gewähren. (Eset: ra)

eingetragen: 22.06.18
Newsletterlauf: 27.06.18

Eset: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Emotet: Allzweckwaffe des Cybercrime

    Die Emotet-Schadsoftware wird derzeit über gefälschte Amazon-Versandbestätigungen verteilt. G Data erklärt, was hinter der Malware steckt und warum sie so gefährlich ist. Emotet ist eine der langlebigsten und professionellsten Cybercrime-Kampagnen der vergangenen Jahre. Erstmals im Jahr 2014 als Banking-Trojaner entdeckt hat die Malware sich über die Jahre zu einer umfassenden Lösung für das Cybercrime entwickelt. Die Schadsoftware nimmt dabei in der Regel nur die Funktion des Türöffners ein, der dann weiteren Schadcode auf dem Rechner installiert. Aktuell wird Emotet über sehr gut gefälschte Amazon-E-Mails verteilt, die Nutzer zum Herunterladen eines Word-Dokuments nötigen wollen. Nach einem Klick auf den angeblichen Tracking-Link öffnet sich das Word-Dokument, das Nutzer auffordert, aktive Inhalte zuzulassen und dann die Infektion des PCs veranlasst.

  • Überwachungs- & Verfolgungsoperationen

    Im Dezember 2018 identifizierte FireEye APT39 als eine iranische Cyber-Spionagegruppe, die mit dem weitreichenden Diebstahl persönlicher Daten in Verbindung steht. Seit November 2014 hat FireEye Aktivitäten im Zusammenhang mit dieser Gruppe verfolgt, um Organisationen vor APT39 zu schützen. Mit ihrem Fokus auf personenbezogenen Daten unterscheidet sich APT39 von anderen iranischen Gruppen, die FireEye beobachtet und die mit Einflussoperationen, Störungsangriffen und anderen Bedrohungen in Verbindung stehen. Mit dem Fokus auf personenbezogene Daten soll APT39 wahrscheinlich Überwachungs- und Verfolgungsoperationen im nationalen Interesse des Irans unterstützen, oder zusätzliche Zugangsmöglichkeiten und -Vektoren für spätere Kampagnen vorbereiten.

  • Zukunft von unentdeckter Malware

    Malwarebytes veröffentlichte die Studie "Unter dem Radar - die Zukunft von unentdeckter Malware" und beleuchtet darin einige der neuesten Bedrohungen in diesem Bereich für Unternehmen: Emotet, TrickBot, Sobretec, SamSam und PowerShell. Widerstandsfähigkeit und Erkennungsvermeidung als neuer Fokus: Die stetige Weiterentwicklung von Cyberkriminalität ist eine Konstante in unserer heutigen digitalen Welt. Fast täglich gibt es Nachrichten von neuen Angriffsmethoden, einer neuen Angriffsstrategie oder einer Taktik, mit der Cyberkriminelle Benutzer infizieren, ihre Lebensgrundlage gefährden und oder ganz allgemein Chaos anrichten. Um ihren Profit zu steigern, wollen Cyberkriminellen Endpunkte zielgerichtet und vollständig besetzen. Sie haben das Ziel, Endpunkte unbemerkt zu infizieren, sowohl in dem Moment der ersten Gefährdung, als auch bei allen weiteren Versuchen, den Endpunkt zu besetzen.

  • Wesentlich effizientere DDoS-Bots

    Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von Asert, ein Team aus Sicherheitsspezialisten des Unternehmens Netscout Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen.Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das Big Data-Anwendungen verarbeitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich.

  • Hacker gehen auf Butterfahrt

    GuardiCore hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die "Butter" genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt. GuardiCore entwickelt IT-Sicherheitstechnologien und erstellt mit einem weltweiten Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen.