Pawn Storm in iOS Apps und andere Fälle von mobilen Angriffsvektoren

Originalartikel von Trend Micro

 

Als Pawn Storm im letzten Oktober entdeckt wurde, wies der Angriff alle Merkmale einer ausgemachten aktiven wirtschaftlich und politisch motivierten Cyberspionage-Aktion auf. Ziel der Angriffe sind Militärbehörden in den USA und von deren Verbündeten, Oppositionspolitiker und Dissidenten in Russland und auch internationale Medien. Pawn Storm (deutsch: „Operation Bauernsturm“) nutzte Köder und legte Schadsoftware über mehrere Angriffsvektoren ab: Spear-Phishing E-Mails mit bösartigen Anhängen, ein Netzwerk von Phishing Websites mit Tippfehler als Tarnung und bösartige iFrames in legitimen Sites.
Zu jener Zeit betrafen die Attacken nur Computer und Server, jedoch nicht Nutzer mobiler Geräte. Nun aber haben die Angreifer einen neuen Weg hinzugefügt, über den sie in die anvisierten Netzwerke eindringen können – iOS mobile Apps. Millionen iOS-Geräte sind in Gefahr, denn zwei Spyware Apps konnten auf diese Kampagne zurückverfolgt werden. Laut Trend Micros Bedrohungsanalysten Lambert Sun, Brooks Hong und Feike Hacquebord versuchen die Hintermänner zuerst, „eine Vielzahl von Schachfiguren zu bewegen, um ihrem tatsächlichen, High-Profile-Ziel nahezukommen“. Wenn dann die Infektion eines solchen Ziels gelungen ist, machen sie den nächsten Schachzug mit einer fortgeschrittenen Spionagesoftware. Dazu gehört auch die entdeckte iOS-Schadsoftware.

Es ist nicht die einzige Bedrohung, die die mobile Plattform missbraucht, um an ihre Ziele zu gelangen.

2012 | LuckyCat
Luckycat, war eine gezielte Angriffskampagne gegen Android-Nutzer in Verbindung mit 90 Attacken gegen viele Branchen und Communities in Japan und Indien. Die Bedrohungsforscher fanden auf Luckycat-Servern Nachweise für den Einsatz von mobilen Apps, die wie Tools für den Fernzugriff (remote access tools, RAT) funktionierten. Diese Apps können Informationen über Mobilgeräte sammeln und Dateien über Fernzugriff hoch- und herunterladen.

2013 | Chuli
Zielgerichtete Angriffe gegen tibetische und uigurische Aktivisten wurden ursprünglich mithilfe von Social Engineering-Taktiken gegen Windows- und OS X-Plattformnutzer ausgeführt, wobei bösartige Dateien heruntergeladen wurden. Später entdeckten die Bedrohungsforscher, dass derselbe Angriff einen APK-Anhang einer bösartigen Android-App einsetzte (ANDROIDOS_Chuli.A), die über ein gehacktes E-Mail-Konto eines anvisierten Aktivisten verschickt wurde.

2014 | Xsser mRat
Bei der Analyse einer vermutlich gezielten Angriffskampagne von chinesisch sprechenden Angreifern gegen Protestierer, fanden die Forscher eine plattformübergreifende Schadsoftware Xsser mRat (AndroidOS_Code4HK.A), die sowohl Android- als auch iOS-Geräte im Visier hatte. Diese Schadsoftware soll Geräteinformationen wie SMS, E-Mail, Instant Messages, Standortdaten, Nutzernamen, Kennwörter, Anruf-logs und Kontaktinformationen abgegriffen haben.

2014 | Regin
Die Regin-Kampagne zielte auf Regierungen, Finanzinstitute, Telekoms, Forschungseinrichtungen und andere Branchen in vielen Ländern. Sie griff GSM Base Station Controller an. Die Angreifer konnten Anmeldedaten sammeln, die dazu notwendig waren, um ein GSM-Netzwerk eines Landes im mittleren Osten zu manipulieren. Damit konnten sie auf Anrufdaten zugreifen, Anrufe umleiten und andere bösartige Routinen ausführen.

Gründe für und Auswirkungen von mobilen Angriffsvektoren

Es zeigt sich, dass Mobilgeräte nicht nur als Ziel für Attacken auf mobile Banking attraktiv sind, sondern auch als Mittel, um in anvisierte Netzwerke einzudringen. Unsichere mobile Gewohnheiten öffnen häufig Lücken, über die auch auf die Arbeitsplätze der Nutzer zugegriffen werden kann.

Zudem sind Mobilgeräte ideale Tools für den Launch von Phishing-Angriffen gegen mögliche Opfer. Das liegt an bestimmten Einschränkungen der Plattform selbst. Dazu gehört der kleine Bildschirm, sodass Nutzer Websites nicht gut in Augenschein nehmen können.

Steigende Zahl mobiler Schadsoftware als Angriffsmotivation









Die steigende Zahl von mobilen Cyberkriminalitätsopfer könnte einen Anreiz für weitere gezielte Angriffe darstellen. Die Kriminellen müssen lediglich einen Blick auf die Ausbeute durch mobile Malware und hochriskante Apps werfen, um zu sehen, wie vielversprechend die Bedrohungslandschaft ist.

Best Practices

Ein erster Schritt zum Schutz vor diesen Angriffen ist die Erkenntnis, dass jede Plattform einen möglichen Angriffsvektor darstellen kann, unabhängig von der Größe des Bildschirms.Weil die Angreifer eine Fülle von Bedrohungen einsetzen, um ihr Endziel – Diebstahl von vertraulichen Unternehmensdaten – zu erreichen, müssen IT-Abteilungen eine Verteidigungsstrategie entwickeln, die auch die Mobilgeräte und die darauf gespeicherten Daten mit einschließt. Zu weiteren Best Practices gehören:

  • Eine zentrale Konsole, die die Durchsetzung von Policies erleichtert und konsistent gestaltet,
  • umfassende, auf Reputation basierte Bedrohungsintelligenz, um mobile Angriffe zu erkennen und zu blockieren,
  • Datenverschlüsselungs-Tools und solche zur Verhinderung von Datenverlusten sowie
  • mobile und Desktopvirtualisierung, um persönliche und Unternehmensanwendungen oder -daten auf den Mobilgeräten zu trennen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*