Sicher & Anonym, Verschlüsselung & Datensicherheit

Hochentwickelte Android-Spionagekampagne entdeckt

Infektionsversuche vor allem in Südostasien - Komplexe Spyware, die über offizielle App Stores verbreitet wird

Die Experten von Kaspersky haben eine hochentwickelte und schädliche Kampagne entdeckt, die es explizit auf Nutzer von Android-Geräten abgesehen hat und vermutlich vom APT-Akteur ,OceanLotus' stammt. Die sogenannte ,PhantomLance'-Kampagne läuft seit mindestens 2015 und ist weiterhin aktiv. 

Im Juli 2019 berichteten Sicherheitsexperten von einem neuen Spyware-Sample in Google Play. Dias hochentwickelte Niveau und das Verhalten der Spyware hoben sich stark von anderen Trojanern ab, die für gewöhnlich in offiziellen App Stores zu finden sind. So konnten die Kaspersky-Forscher ein sehr ähnliches Sample dieser Malware auf Google Play finden. 

Wenn es Entwicklern von Schadprogrammen gelingt, ihre schädliche App auf einen legitimen App Store zu laden, investieren sie normalerweise beträchtliche Ressourcen für die Bewerbung der App, um so die Anzahl der Installationen und damit auch die der Opfer zu erhöhen. Dies war bei diesen neu gefundenen schädlichen Apps jedoch nicht der Fall - die Hintermänner der Kampagne waren wohl nicht an einer Massenverbreitung interessiert. Für die Kaspersky-Experten war dies ein Hinweis auf eine zielgerichtete APT-Aktivität (Advanced Persistent Threat). Folgeuntersuchungen förderten weitere Versionen der Malware mit dutzenden Samples zu Tage, die über mehrere Ähnlichkeiten im Code miteinander in Verbindung standen.

Sammeln von Informationen

Die Funktionalität all dieser Samples war ähnlich - der primäre Zweck der Spyware lag im Sammeln von Informationen. Während die Basisfunktionalität nicht sehr breit ausgerichtet und insbesondere auf Geolocation, Anruflisten sowie Zugang zu Kontakten und SMS lag, war die Anwendung zudem in der Lage, Informationen über die auf dem kompromittierten Gerät installierten Apps sowie Geräteinformationen wie Modell oder genutzte Betriebssystemversion zu sammeln. Darüber hinaus konnte der Bedrohungsakteur unterschiedliche schädliche Payloads downloaden und ausführen, die für die jeweilige Geräteumgebung, zum Beispiel die entsprechende Android-Version und die installierten Apps, angepasst waren. So vermied der Bedrohungsakteur, dass die Anwendung mit unnötigen Funktionen überlastet wird und sich so auf das Sammeln der anvisierten Informationen konzentrieren kann.

Ausgeklügelte Verbreitung über offizielle Quellen

Weitere Untersuchungen deuten auch darauf hin, dass PhantomLance in erster Linie auf verschiedenen Plattformen und Marktplätzen verbreitet wurde - darunter, aber nicht ausschließlich, auf Google Play und APKpure. Um Apps legitim erscheinen zu lassen, wurde fast immer bei der Verbreitung der Malware von den Hintermännern ein gefälschtes Entwicklerprofil durch die Erstellung eines dazugehörigen Github-Kontos aufgebaut. Um unter dem Radar der von den Marktplätzen verwendeten Filtermechanismen zu bleiben, enthielten die ersten Versionen der Anwendung, die vom Bedrohungsakteur auf den Marktplätzen hochgeladen wurden, keine bösartigen Payloads. Erst bei späteren Updates wurden die Apps um schädliche Payloads sowie einem Code zur Platzierung und Ausführung dieser erweitert.

APT-Akteur OceanLotus steckt wohl hinter der Kampagne

Über die Kaspersky Malware Attribution Engine - ein internes Tool zur Identifizierung von Ähnlichkeiten zwischen schädlichen Codes - konnten die Forscher feststellen, dass die Payloads von PhantomLance mindestens 20 Prozent Ähnlichkeit zu einer älteren Android-Kampagne aufwiesen, die im Zusammenhang mit OceanLotus stand. Dabei handelt es sich um einen Akteur, der seit mindestens dem Jahr 2013 aktiv ist und es insbesondere auf Ziele in Südasien abgesehen hat. Des Weiteren kristallisierten sich wichtige Überschneidungen mit zuvor berichteten Aktivitäten von OceanLotus auf Windows und MacOS heraus. Daher gehen die Kaspersky-Forscher davon aus, dass die PhantomLance-Kampagne vermutlich mit OceanLotus in Verbindung steht.

 Kaspersky hat die entdeckten Samples den Betreibern der legitimen App Stores gemeldet. Google Play hat bestätigt, die betroffenen Apps aus dem Marktplatz entfernt zu haben.

 

"Diese Kampagne ist ein bedeutendes Beispiel dafür, wie fortgeschrittene Bedrohungsakteure immer weiter abtauchen und so schwerer zu finden sind", konstatiert Alexey Firsh, Sicherheitsforscher GReAT (Global Research and Analysis Team) bei Kaspersky. "PhantomLance ist seit über fünf Jahren aktiv und die Bedrohungsakteure haben es geschafft, die Filter der App Stores mehrmals zu umgehen, indem sie fortschrittliche Techniken einzusetzen, um ihre Ziele zu erreichen. Wir sehen darüber hinaus, dass die Verwendung mobiler Plattformen als primärer Infektionspunkt immer beliebter wird und sich immer mehr Akteure in diesem Bereich weiterentwickeln. Diese Entwicklungen unterstreichen die Bedeutung einer kontinuierlichen Verbesserung der Bedrohungsinformationen und der unterstützenden Dienste, die dazu beitragen können, die Bedrohungsakteure aufzuspüren undÜberschneidungen zwischen verschiedenen Kampagnen zu finden."

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben