Weltweite Malware-Attacke: Smartphones unter Beschuss, Bankkonten in Gefahr
Eine neue, raffiniert orchestrierte Malware-Kampagne vereint die Kräfte zweier gefährlicher Schadprogramme: Gigabud und Spynote. Die Angreifer nutzen ein Netzwerk von Phishing-Websites mit ähnlichen Strukturen und Subdomains, um gezielt bösartige Mobil-Apps zu verbreiten. Diese Apps richten sich weltweit gegen Kunden von Finanzinstituten und zielen darauf ab, vertrauliche Daten abzugreifen und Schaden anzurichten.
Zimperium, ein führender Anbieter für Echtzeitschutz mobiler Geräte, hat alarmierende neue Details über eine Malware-Kampagne veröffentlicht, die gleich zwei gefährliche Schadprogramme kombiniert: Gigabud und Spynote. Die Sicherheitsforscher von Zimperium haben herausgefunden, dass diese Kampagne gezielt Phishing-Websites nutzt, um schädliche mobile Apps zu verbreiten, die sich als Apps bekannter Finanzinstitute tarnen. Die Malware wird über Domains und Subdomains verbreitet, die ähnliche Strukturen aufweisen, was auf eine koordinierte, global ausgerichtete Kampagne hindeutet.
Gigabud und Spynote: Zwei gefährliche Malware-Typen
Gigabud ist ein Banking-Trojaner, der speziell darauf ausgelegt ist, Nutzer zur Freigabe sensibler Berechtigungen zu verleiten. Sobald diese Berechtigungen erteilt wurden, können die Angreifer betrügerische Transaktionen durchführen, indem sie sich Zugang zu den Bankkonten der Opfer verschaffen. Spynote hingegen ist eine Android-Malware, die es Angreifern ermöglicht, die volle Kontrolle über das infizierte Mobilgerät zu erlangen. Diese Kontrolle umfasst das Ausspionieren des Geräts, das Abfangen von Textnachrichten, das Aufzeichnen von Anrufen und sogar das Stehlen von Passwörtern.
Die Kombination beider Schadprogramme verstärkt die Bedrohung erheblich, da die Angreifer auf diese Weise sowohl finanziellen Betrug begehen als auch umfassende Datenüberwachung und -diebstahl durchführen können. Dies stellt eine erhebliche Gefahr für Privatpersonen und Unternehmen dar, deren Mitarbeiter möglicherweise über kompromittierte Geräte arbeiten.
Koordinierte Verbreitung über Phishing-Websites
Die Analyse von Zimperium zeigt, dass Gigabud und Spynote über dieselben Domains verbreitet werden, was auf eine zentrale Steuerung durch dieselben Hintermänner hindeutet. Die Angreifer nutzen Phishing-Websites, die den Webauftritten von großen Finanzinstituten, Fluggesellschaften, E-Commerce-Plattformen und Regierungsbehörden täuschend ähnlich sehen, um Benutzer dazu zu bringen, bösartige mobile Apps herunterzuladen. Diese Phishing-Seiten sind so gestaltet, dass sie Vertrauen erwecken, während sie im Hintergrund den Schadcode verteilen.
Zimperium identifizierte in diesem Zusammenhang elf Command-and-Control-Server (C2-Server) und 79 Phishing-Websites, die auf weltweite Opfer abzielen. Die Domains imitieren das Design vertrauenswürdiger Anbieter, um Benutzer zur Installation der Malware zu verleiten oder sie dazu zu bringen, weitreichende Berechtigungen zu erteilen, mit denen Angreifer vollen Zugriff auf das Gerät erhalten.
Zielgruppe der Kampagne
Die Hauptziele der Kampagne sind Nutzer von mobilen Banking-Apps. Zimperiums Sicherheitsforscher identifizierten über 50 mobile Banking-Apps, die von mehr als 40 Banken weltweit betroffen sind. Neben den Bankkunden werden auch Nutzer von Kryptowährungsplattformen ins Visier genommen, da sie häufig über wertvolle digitale Vermögenswerte verfügen. Insgesamt wurden mehr als zehn große Kryptowährungsplattformen in der Analyse genannt, die ebenfalls in die Phishing-Kampagne involviert sind.
Besonders besorgniserregend ist die Beobachtung, dass sich die Angreifer zunehmend von gefälschten Regierungswebseiten hin zu vermeintlich legitimen Plattformen von Finanzinstituten verlagern. Diese Strategie erhöht die Wahrscheinlichkeit, dass die Opfer auf die gefälschten Websites hereinfallen und sensible Informationen preisgeben oder bösartige Apps installieren.
Einsatz fortschrittlicher Verschleierungstechniken Die Malware wird durch den Einsatz eines Packprogramms namens „Virbox“ zusätzlich geschützt. Diese fortschrittliche Verschleierungstechnik erschwert die Erkennung durch herkömmliche Sicherheitslösungen erheblich. Das Packprogramm verschleiert den Schadcode, sodass er schwerer analysiert und entdeckt werden kann. Dadurch wird es für die Sicherheitssoftware der betroffenen Geräte schwierig, die Bedrohung rechtzeitig zu erkennen und abzuwehren.
„Virbox“ erschwert es nicht nur, die Malware zu identifizieren, sondern verlängert auch die Zeit, in der die Malware auf einem Gerät unentdeckt bleibt. Dies erhöht die Chancen der Angreifer, dass die Infektion erfolgreich durchgeführt und die Kontrolle über das Gerät übernommen wird, bevor Schutzmaßnahmen greifen.
Wachsende Bedrohung durch mobile Malware Nico Chiaraviglio, Chief Scientist bei Zimperium, betont die zunehmende Komplexität mobiler Malware-Angriffe: „Das Zusammenspiel zwischen Gigabud und Spynote dokumentiert die wachsende Raffinesse der Bedrohungsakteure. Mobile Malware-Angriffe sind nicht mehr nur isolierte Fälle von Phishing oder Malware, sondern hochentwickelte, koordinierte Kampagnen, die verschiedene Angriffstechniken kombinieren. Unsere Forschungsergebnisse zeigen, dass Echtzeit-Erkennungstechnologien unerlässlich sind, um mobile Endgeräte gegen diese schnell wachsenden Bedrohungen zu schützen.“
Mit der Kombination aus Gigabud und Spynote haben Cyberkriminelle eine äußerst gefährliche Kampagne geschaffen, die sowohl für Endverbraucher als auch für Unternehmen große Risiken birgt. Diese Kampagne verdeutlicht die Notwendigkeit, Mobilgeräte besser zu schützen und auf moderne Bedrohungserkennungstechnologien zu setzen, die in Echtzeit auf solche Bedrohungen reagieren können.
Zimperium warnt daher eindringlich vor dieser Kampagne und rät Nutzern, Apps nur aus vertrauenswürdigen Quellen herunterzuladen, Berechtigungen genau zu prüfen und Sicherheitslösungen auf ihren Mobilgeräten zu installieren, die in der Lage sind, auch versteckte Bedrohungen wie „Virbox“ zu erkennen.
Weitere Informationen zur mobilen Malware-Kampagne sind hier verfügbar.