- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Android Remote Administration Tools (RATs)


Eset warnt vor HeroRat: Mobile Malware verwandelt Android-Smartphones in digitale Wanzen
Android Remote Administration Tool-Familie missbraucht beliebten Messenger Telegram

- Anzeigen -





Eset warnt vor der mobilen Malware "HeroRat". Sie nutzt das Protokoll des beliebten Messengers Telegram, um Kontrolle über Android-Smartphones zu erlangen und sie fernzusteuern. Der gefährliche Schädling ist Teil einer ganzen Familie von Android RATs (Remote Administration Tools), die Eset-Sicherheitsforscher bereits im August 2017 entdeckt hatten. Im März dieses Jahres wurde der Quellcode kostenlos in verschiedenen Telegram-Hacking-Kanälen verfügbar gemacht. Daraus entwickelten sich dann parallel Hunderte Varianten der Malware, die sich nun in freier Wildbahn im Umlauf befinden.

Trotz des frei verfügbaren Quellcodes unterscheidet sich die Variante HeroRat signifikant von den anderen und ist daher besonders bedrohlich. In Hackerkreisen hat die Malware bereits eine zweifelhafte Berühmtheit erlangt und wird in einem eigenen Hacking-Kanal zu Telegram angeboten. HeroRat ist je nach Funktionalität in drei Preismodellen erhältlich und verfügt über einen Video-Support-Kanal. Es ist unklar, ob diese Variante aus dem durchgesickerten Quellcode erstellt wurde, oder ob es sich hierbei sogar um das "Original" handelt, dessen Quellcode durchgesickert ist.

Wie funktioniert das RAT?
Angreifer animieren die Opfer das RAT herunterzuladen, indem sie es unter verschiedenen attraktiv klingenden Schein-Apps, über App Stores von Drittanbietern, Social Media und Messaging Apps verbreiten. "Wir haben die Malware als Apps gesehen, die kostenlose Bitcoins, kostenlose Internetverbindungen und zusätzliche Anhänger in sozialen Medien versprechen", erläutert Lukas Stefanko, Malware Forscher bei Eset. Auf Google Play sei die Malware noch nicht aktiv.

Der Schädling läuft auf allen Android-Versionen. Bevor er aktiv werden kann, müssen Nutzer jedoch von der App benötigten Berechtigungen akzeptieren. Nachdem die Malware auf dem Gerät des Opfers installiert und gestartet wurde, erscheint ein Popup. Es behauptet, dass die Anwendung auf dem Gerät nicht ausgeführt werden kann und daher deinstalliert wird. "In den von uns analysierten Varianten erscheint vermeintliche Deinstallationsmeldung je nach Spracheinstellung des Zielgerätes in Englisch oder Persisch", so Stefanko. Nachdem die Deinstallation scheinbar abgeschlossen ist, verschwindet das Symbol der Anwendung. Auf der Seite des Angreifers wird jedoch genau zu diesem Zeitpunkt das befallene Smartphone als neues Opfergerät registriert.

Nachdem der Angreifer Zugriff auf das Gerät des Opfers erhalten hat, nutzt er die Bot-Funktionalität von Telegram. So kann er das befallene Gerät selbst steuern und nahezu beliebig manipulieren. Denn die Malware verfügt über eine breite Palette von Spionage- und Datei-Filterfunktionen. Dazu zählen neben dem Abfangen von Textnachrichten und Kontakten das Senden von Textnachrichten und Anrufen, Audio- und Bildschirmaufzeichnungen, das Abrufen der Geräteposition und die Steuerung der Geräteeinstellungen. Das Opfer bemerkt davon nichts. Die Übertragung von Befehlen an die kompromittierten Geräte und die Übermittlung von sensiblen Daten an die Hacker werden vollständig über das Telegrammprotokoll abgedeckt. Diese Tarnung verhindert geschickt, dass die Malware aufgrund des Datenverkehrs zu bekannten Upload-Servern entdeckt wird.

So bleiben Android-Nutzer sicher
Mit dem kürzlich kostenlos zur Verfügung gestellten Quellcode der Malware konnten bereits neue Mutationen entwickelt und weltweit eingesetzt werden. Da die Verteilungsmethode und die Form der Tarnung dieser Malware von Fall zu Fall variiert, reicht es nicht aus, wenn mobile Anwender das Gerät auf das Vorhandensein bestimmter Anwendungen überprüfen, um festzustellen, ob Ihr Gerät kompromittiert wurde. Um eine Gefährdung auszuschließen, empfiehlt sich der Scan mit einer zuverlässigen mobilen Sicherheitslösung. Eset-Lösungen erkennen und blockieren diese Bedrohung als Android/Spy.Agent.AMS und Android/Agent.AQO.

Um nicht Opfer von Android-Malware zu werden, sollten Nutzer Apps ausschließlich aus vertrauenswürdigen Quellen wie dem offiziellen Google Play-Store herunterladen. Vor dem Download von Apps empfiehlt sich ein Blick in die Benutzerbewertungen. Nicht zuletzt sollten Anwender darauf achten, welche Berechtigungen sie den Apps vor und nach der Installation gewähren. (Eset: ra)

eingetragen: 22.06.18
Newsletterlauf: 27.06.18

Eset: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Schadcode auf Mobilgeräten

    Check Point Software Technologies hat nach dem Bekanntwerden von Cyberattacken gegen israelische Soldaten eine der eingesetzten Schädlinge untersucht. GlanceLove ist eine Android-Malware die Schadcode auf Mobilgeräte schleust. Der Name GlanceLove leitet sich von der Chat-App "Glance Love" ab, einer scheinbar legitimen Dating-App, die jedoch hauptsächlich dazu diente, Schadcode auf die Endgeräte zu schleusen. Die meisten Angriffe wurden allerdings mit einer App namens "Golden Cup" gefahren. Hierbei handelte es sich um eine Fußball-App zur WM, die ebenfalls funktionsfähig im Google Play Store verfügbar war und die Sicherheitsprüfungsmechanismen von Google umgehen konnte. Außerdem sind Angriffe über das Chatprogramm "Wink Chat" bekannt.

  • Tricks der Cyberkriminellen

    Vom derzeitigen Bitcoin- und Blockchain-Hype scheinen auch Cyberkriminelle zu profitieren. So schätzt Kaspersky Lab, dass Cyberkriminelle im vergangenen Jahr mittels neuer und bewährter Social-Engineering-Methoden mehr als 21.000 ETH (Ether) beziehungsweise zehn Millionen US-Dollar erbeuten konnten. Eine Analyse der über die Kaspersky-Produkte gemessenen Bedrohungen bestätigt den Trend: mehr als hunderttausend Alarme wurden im Zusammenhang mit Kryptowährungen ausgelöst. Derzeit haben es die Cyberkriminellen verstärkt auf Investoren im Krypto-Startup-Bereich abgesehen; sie missbrauchen namhafte Kryptowährungsprojekte und Twitter-Konten prominenter Personen für ihre Betrügereien.

  • Neue Klasse von SSDP-Missbrauch aufgedeckt

    Netscout Arbor, Sicherheitsspezialistin für DDoS-Abwehr-Lösungen, hat eine neue Klasse von SSDP-Missbrauch aufgedeckt, bei dem Geräte auf SSDP-Reflexions-/Verstärkungsangriffe mit einem nicht standardisierten Port reagieren. SSDP (Simple Service Discovery Protocol) ist ein Netzwerkprotokoll, das zur Suche nach Universal-Plug-and-Play-Geräten (UPnP) in Windows-Netzwerken dient. Offen aus dem Internet erreichbare SSDP-Server können für DDoS-Reflexionsangriffe gegen IT-Systeme von Unternehmen und Organisationen missbraucht werden. Die daraus resultierende Flut von UDP-Paketen hat kurzlebige Quell- und Zielports, sodass die Eindämmung erschwert wird. Dieses Verhalten scheint auf eine breite Wiederverwendung in CPE-Geräten, wie Telefone, Faxe und Modems, der Open-Source-Bibliothek libupnp zurückzuführen zu sein. Erkenntnise aus früheren DDoS-Vorfällen deuten darauf hin, dass sich Angreifer dieses Verhaltens bewusst sind und sich aufgrund der Wirksamkeit ihres Angriffs gezielt anfällige Geräte suchen und diese auszunutzen können.

  • Phishing ist Big Business

    Sophos hat den Aufstieg von Phishing-Angriffen im letzten Jahr untersucht. Das Ergebnis: Ausgefuchste Taktiken in Tateinheit mit penetrantem Auftreten machen die neue Qualität von Phishing-Emails aus. Die Angreifer haben die Vorteile von Malware-as-a-Service (MaaS) entdeckt - ein Cousin von Ransomware-as-a-Service (RaaS), beide wohnhaft im Dark Web - um die Effizienz und das Volumen von Attacken zu steigern. Lieblings-Ziel: die Mitarbeiter. In der Simulations- und Trainings-Umgebung "Sophos Phish Threat" werden Nutzer darin geschult, wie sie Phishing-Emails erkennen können. Die gesammelten Erkenntnisse liegen nun in einem White Paper vor. Daraus geht hervor, dass die beste Verteidigung gegen Phishing-Attacken eine duale Strategie ist.

  • Android-Wurm ADB.Miner nutzt Schwachstelle aus

    Tausende von Smartphones weltweit sind von einem Android-Wurm betroffen. Schuld daran ist eine Sicherheitslücke durch eine vergessene Debug-Schnittstelle. G Data klärt über die Gefahr auf und zeigt, wie Benutzer überprüfen können, ob ihr Mobilgerät ebenfalls davon betroffen ist und falls ja, wie die Sicherheitslücke geschlossen werden kann. Ein unbekannter Dritter greift via Internet auf das eigene Smartphone zu - und das mit vollen Root-Rechten als Administrator. Was sich wie ein komplizierter und denkbar unmöglicher Fall liest, wird durch eine Android-Sicherheitslücke zum einfachen Spiel für Cyberangreifer. Dieser kann sich dank des geöffneten TCP-Port 5555 per Androids Debug Bridge-Schnittstelle (kurz: ADB) auf das Gerät einklinken. Über ADB lassen sich eine Vielzahl von Geräte-Aktionen durchführen - angefangen vom simplen Auslesen der Geräteinformationen, über den Diebstahl sensibler Daten, bis hin zu sicherheitskritischen Installationen von schädlichen Programmen.