DEFCON 2012: Android-Schädlinge in Luckycat-Servern

Originalartikel von Raimund Genes, Chief Technology Officer

Es ist bekannt, dass Angreifer die Netzwerkumgebungen ihrer Opfer erst erkunden, bevor sie aktiv werden. Daher scheint es nur logisch, dass in Zeiten zunehmender Mobilität auch mobile Schadsoftware in gezielten Angriffen häufiger eingesetzt wird. War dies bis vor kurzem eher Spekulation, so haben wir nun Gewissheit, dass aus der Theorie Wirklichkeit geworden ist.
Auf der DEFCON (26.07. – 29.07.) in Las Vegas zeigten die Sicherheitsexperten von Trend Micro zum ersten Mal, dass Viren für die Infektion von Dateien für Android geschrieben werden können. Jetzt gibt es erste klare Beweise, dass die Angreifer ihre Zielgruppe auf mobile Plattformen ausweiten. Die Sicherheitsforscher entdeckten während der Überwachung eines Luckycat C&C-Servers zwei APKs noch in einem frühen Stadium der Entwicklung.
Zur Erinnerung: Die Luckycat-Kampagne war auf verschiedene Ziele ausgerichtet und nutzte eine Vielfalt von Schädlingen, von denen einige auch in Beziehung zu weiteren Cyberspionage-Kampagnen standen.
Die Android-Apps, die die Sicherheitsforscher fanden, besitzen RAT (Remote Access Trojan) -Funktionalität. Sie können ein Gerät nach wichtigen Informationen durchsuchen und diese Daten auf entfernte Servern hochladen. Auch sind sie in der Lage, Dateien herunterzuladen, um neuere Versionen der Malware zu erhalten. Auch eine Remote Shell ist als Befehl in den Apps vorhanden, doch scheinen die aktuellen APKs in dieser Hinsicht unvollständig zu sein.
Das Vorhandensein dieser Apps zeigt deutlich, wie riskant es ist, im Rahmen von BYOD-Konzepten Smartphones und Tablets zu erlauben, sich ins Unternehmensnetzwerk einzuwählen, ohne die entsprechenden Sicherheitsmaßnahmen getroffen zu haben. Mobilgeräte mögen, klein, handlich und bequem sein, doch setzen sie die Nutzer denselben Gefahren aus wie früher die Desktops.
Diese Entwicklung der gezielten Attacken lässt darauf schließen, dass die Angreifer sich den jeweiligen Trends in den Netzwerkumgebungen anpassen. Die Präsentation auf der DEFCON thematisierte auch SABPUB, eine von Luckycat genutzte Mac-Malware. Lange Zeit galt der Mac als Betriebssystem, das die Cyberkriminellen zugunsten von Windows links liegen lassen.
Die wichtigen Erkenntnisse sind auch in dem Papier „Adding Android and Mac OS X Malware to the APT Toolbox“ von Nart Villeneuve, Ben April und Xingqi Ding zusammengefasst.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*