Transparent Tribe: neue Android-Malware in populären Apps

Transparent Tribe: neue Android-Malware in populären Apps – Die Sicherheitsexperten von Kaspersky haben neue Malware entdeckt, die sich speziell auf Android Nutzer fokussiert hat und unter dem Deckmantel von anderen Anwendungen versucht, weitere Anwendungen nachzuladen. Hierbei handelt es sich um eine modifizierte Version des AhMyth Android Remote Access Tool (RAT), einer Open-Source-Malware, die von GitHub heruntergeladen werden kann und durch das Einbinden einer schädlichen Payload in andere legitime Anwendungen erstellt wurde. Über diese weitere Software können dann Android Geräte übernommen werden.

Die Sicherheitsexperten von Kaspersky schreiben im Original dazu:

Die Experten von Kaspersky haben eine neue Android-Spyware entdeckt, die unter dem Deckmantel vermeintlicher Erwachseneninhalte und COVID-19-Applikationen in Indien vertrieben wird. Die Spyware wird der APT-Gruppe Transparent Tribe zugeschrieben, die ihre Aktivitäten auszuweiten scheint und nun mobile Geräte infiziert.

Kaspersky konnte bereits vor kurzem Transparent Tribe mit einer aktuellen Cyber-Spionage-Kampagne gegen Militär- und Regierungseinrichtungen weltweit in Verbindung bringen. Jüngste Ergebnisse zeigen nun, dass die Gruppe auch aktiv an der Verbesserung ihrer Tools und der Ausweitung ihrer Reichweite zur Bedrohung mobiler Geräte gearbeitet hat. Während der Untersuchung von Transparent Tribe konnte Kaspersky ein neues Android-Implantat finden, das der Bedrohungsakteur bei Angriffen zum Ausspionieren mobiler Geräte einsetzte und das in Indien durch eine pornografische App und eine gefälschte Version der nationalen COVID-19-Tracking-App verbreitet wurde. Die Verbindung zwischen der Gruppe und den beiden Anwendungen wurde aufgrund der verwandten Domänen hergestellt, die Transparent Tribe nutzte, um bösartige Dateien für verschiedene Kampagnen zu hosten.

Daneben haben die Macher hinter der Malware auch die Remote-Software verbessert um weiteren Zugang zu übernommen Geräten zu bekommen. Die erweitere Malware enthält neue Funktionen, die von den Angreifern hinzugefügt wurden, um die Daten-Exfiltration zu verbessern, während einige Kernfunktionen, wie das Stehlen von Kamerabildern, fehlen. Die Anwendung kann neue Applikationen auf das Telefon herunterladen, auf SMS, Mikrofon und Anrufprotokolle zugreifen, den Standort des Geräts verfolgen und auf einem Telefon befindliche Dateien auf einen externen Server hochladen.

Die Android Malware scheint aber weniger für den privaten Bereich gedacht als mehr für gezielte Angriffe auf Wirtschaft und Militär. Dennoch ist sie natürlich auch für private Nutzer eine Gefahr.

Garmin offline – Hersteller kämpft mit Ransom-Ware

Smartphone und Internet Sicherheit Symbolbild

Garmin offline – Hersteller kämpft mit Ransom-Ware – Garmin Nutzer haben es bereits deutlich bemerkt: beim Anbieter sind die Online-Dienste und die Cloud offline. Damit lassen sich viele Funktionen der Garmin Geräte nicht mehr nutzen. Ein Zugriff auf gespeicherte Daten ist auch nicht mehr möglich und bringt nur Fehlermeldungen oder eine Wartungsnachricht.

Hintergrund für die Probleme ist wohl ein erfolgreicher Angriff auf die digitale Infrastruktur des Unternehmen. Dabei wurden die wichtigsten System verschlüsselt und nur gegen Geldzahlung wird der Zugriff wieder frei gegeben (wenn überhaupt). Solche sogenannte Ransomware-Angriffe finden leider immer häufiger statt.

Bei ZDnet schreibt man im Artikel dazu:

Smartwatch and wearables maker Garmin has shut down several of its services on July 23 to deal with a ransomware attack that has encrypted its internal network and some production systems.

The company is currently planning a multi-day maintenance window to deal with the attack’s aftermath, which includes shutting down its official website, the Garmin Connect user data-syncing service, Garmin’s aviation database services, and even some production lines in Asia.

In messages shared on its website and Twitter, Garmin said the same outage also impacted its call centers, leaving the company in the situation of being unable to answer calls, emails, and online chats sent by users.

Aufgrund dieses Hintergrunds kann man auch noch nicht sagen, wann die Probleme bei Garmin wieder behoben sind und der Zugriff auf alle Online-Dienste wieder funktionieren wird. Für Nutzer ist also vorerst Geduld angesagt.

Immer auf den Laufenden bleiben: Tech News und Meldungen direkt auf das Handy oder in den Sozialen Netzwerken: Appdated Telegramm Channel | Appdated bei Facebook | Appdated bei Twitter

Merkwürdige Werbung auf dem Smartphone? Daran kann es liegen

Merkwürdige Werbung auf dem Smartphone? Daran kann es liegen – Werbung auf dem Smartphone ist oft wenig beliebt und noch schlimmer ist es, wenn sie direkt im System auftaucht und noch dazu für merkwürdige Dienste und fragwürdige Produkte wirbt. Teilweise wissen die Nutzer gar nicht, woher die Werbung kommt und fühlen sich daher eher belästigt.

So schreibt ein Nutzer bei Android PIT

ich habe seit längerer Zeit das Problem, dass sich nach dem entsperren des Gerätes, Werbung öffnet auf meinem Homescreen. Ich habe mein Handy auch schon auf Werkseinstellung zurückgesetzt, doch dies ergab leider keinen Erfolg. Sobald man auf die Werbung klickt, öffnet sich der Google Play Store. Hab ich dort etwas falsches in den Einstellungen?

Und ein anderer Verbraucher berichtet von ähnlichen Problemen im Samsung Forum:

ich habe seit längerer Zeit das Problem, dass sich nach dem entsperren des Gerätes, Werbung öffnet auf meinem Homescreen. Ich habe mein Handy auch schon auf Werkseinstellung zurückgesetzt, doch dies ergab leider keinen Erfolg. Sobald man auf die Werbung klickt, öffnet sich der Google Play Store. Hab ich dort etwas falsches in den Einstellungen?

Tatsächlich kann das Auftauchen von Werbung und Popups auf dem Handy ein Zeichen für einen Hack sein und auch darauf hindeuten, dass man eine App installiert hat, die möglicherweise Malware enthält. Dabei sind es tatsächlich fast immer Apps, die solche Werbung einblenden. Wir man in solchen Fällen vorgehen soll, haben wir hier beschrieben.

Welche App blendet die unerwünschte Werbung ein?

Auf Smartphones sind meistens sehr viele Apps aktiv und daher ist es nicht ganz einfach, die App zu finden, die für die unerwünschte Werbung verantwortlich ist. Im einfachsten Fall schaut man die Liste unter Einstellungen => Apps durch und deaktiviert nacheinander alleverdächtigen Apps. Wenn danach die Werbung nicht mehr eingeblendet wird, hat man den Schuldigen gefunden. Man kann dies auch über den abgesicherten Modus vornehmen. Google selbst schreibt dabei zur Vorgehensweise:

  1. Halten Sie auf einem Android-Smartphone oder -Tablet die Ein-/Aus-Taste gedrückt.
  2. Halten Sie das Symbol „Ausschalten“ An/Aus auf Ihrem Display gedrückt. Das Gerät wird im abgesicherten Modus gestartet. Am unteren Bildschirmrand steht „Abgesicherter Modus“.
  3. Entfernen Sie nacheinander alle kürzlich heruntergeladenen Apps.
    • Tipp: Erstellen Sie eine Liste der Apps, die Sie entfernen, damit Sie keine App vergessen, wenn Sie sie wieder hinzufügen.
  4. Starten Sie Ihr Gerät neu, nachdem Sie jeweils eine App gelöscht haben, und prüfen Sie, ob das Problem dadurch behoben wurde.
  5. Sobald Sie die App entfernt haben, die das Problem verursacht hat, können Sie die anderen entfernten Apps wieder hinzufügen.

Möchte man die App nicht ganz entfernen (weil man sie vielleicht noch braucht) kann man auch die Berechtigungen so eingrenzen, dass die App keine Werbung mehr einblenden kann. Das ist aber nicht zu empfehlen, denn wenn eine App unerwünschte Werbung einblendet, liegt der Verdacht nahe, das auch andere unerwünschte Sachen durchgeführt werden (beispielsweise Datenweitergabe).

Sicherheitstipps für Apps – das empfiehlt das BSI

Die Sicherheitsexperten des Bundesamtes für Sicherheit in der Informationstechnik schreiben dazu:

  • Installieren Sie nur die Apps, die Sie tatsächlich benötigen. Jede zusätzliche App stellt zunächst ein zusätzliches Sicherheitsrisiko dar, selbst wenn es sich um ein seriöses Angebot handelt. Praktisch jede Software enthält Sicherheitslücken, Gerade bei kostenlosen Apps handeln Sie sich auch schnell potenziell unerwünschte Programme (PUP) wie falschen Antiviren-Schutz oder Adware ein. Der fragwürdige Zweck von Adware ist, Werbung einzublenden.
  • Installieren Sie Apps nur aus vertrauenswürdigen Quellen – etwa den im Smartphone voreingestellten App-Stores und Markets der Hersteller.
  • Prüfen Sie, auf welche Funktionen die App Rechte beansprucht. Je nach Betriebssystem können Sie vor der Installation einer App sehen, welche Rechte die Anwendung nach der Installation erhält. Achten Sie darauf, dass Apps nur auf die Smartphone-Funktionen zugreifen können, die für den Anwendungszweck nötig und plausibel sind. So ist Skepsis angebracht, wenn etwa eine Anwendung zum Speichern von Notizen auf die SMS-Funktion zugreifen will. Hier müssen Sie kritisch prüfen, ob Sie die Berechtigungen annehmen möchten, denn es gilt, alle Berechtigungen zu bestätigen oder die App nicht zu installieren. Weitere Informationen zur Bestätigung von App-Rechten unter Android finden Sie hier.
  • Wenn Sie unsicher sind, ob die App vertrauenswürdig ist, hilft meist schon eine kurze Suche im Internet. Hier wird zeitnah informiert, wenn eine App Schadsoftware beinhaltet.
  • Vorsicht bei Schnäppchen: Populäre Apps, vor allem Spiele, werden nachgeahmt. Die Nachahmer bieten die Apps billiger oder kostenlos an, bauen aber mitunter schädliche Funktionen in die Apps ein oder locken mit kostenpflichtigen „Extra-Leveln“.

Weitere hilfreiche Beiträge zum Thema Android

Sicherheitslücke – Bluetooth bei Samsung, Apple, Huawei und Co. vorerst besser nicht nutzen

Sicherheitslücke – Bluetooth bei Samsung, Apple, Huawei und Co. vorerst besser nicht nutzen – Bluetooth ist bei fast allen mobilen Endgeräten verfügbar und oft auch standardmäßig aktiviert. Daher ist es ein gravierendes Problem, dass nun im Protokoll des Dienstes mehrere Sicherheitslücken entdeckt wurden, die die gesamte Sicherheit der Datenübertragung gefährden und daher unter Umständen dazu führen, dass Angreifer über die Schnittstelle Schadcode aufspielen können.

Das betrifft an sich alle Systeme, auf den Bluetooth im Einsatz ist (beispielsweise auch Intel Systeme) und mittlerweile sind die Schwachstellen auch veröffentlicht, so dass man davon ausgehen kann, dass diese Lücken früher oder später auch ausgenutzt werden. Es gibt dazu auch einen recht detaillierte Beschreibung.

Bisher gibt es von den Herstellern noch keine Patch für die Lücken (teilweise wurden diese erst vorgestern veröffentlicht) und so kann man sich noch nicht per Update vor diesen Lücken schützen. Es bleibt daher vorerst nur die Lösung Bluetooth abzuschalten, dann kann die Schnittstelle auch nicht manipuliert werden.

Das Bundesamt für Sicherheit in der Informationstechnik schreibt dazu:

Das BürgerCERT empfiehlt, die Bluetooth Funktion von Geräten nicht zu nutzen. Sobald Updates
verfügbar sind, wird die zeitnahe Installation der vom Hersteller bereitgestellten
Sicherheitsupdates empfohlen, um die Schwachstellen zu schließen. …  In der Spezifikation des Bluetooth Protokolls bestehen mehrere Schwachstellen. Es sind viele Hersteller betroffen. Ein Angreifer in Funkreichweite kann Sicherheitsvorkehrungen umgehen und dadurch die Bluetooth Kommunikation manipulieren.

Man muss die Schnittstelle dabei nicht ständig deaktivieren und kann sie wieder anschalten, wenn man sie braucht, Prinzipiell sollte Bluetooth aber standardmäßig abgeschaltet sein und nur aktiviert werden, wenn man den Dienst wirklich braucht. Sobald es Patches gibt (und man kann davon ausgehen, dass die meisten Hersteller bereits daran abreiten werden) kann man den Dienst dann auch wieder normal nutzen und ohne Einschränkungen. Bis dahin sollte man aber bei der Nutzung eher vorsichtig sein.

Video: So funktioniert die Manipulation der Bluetooth Datenübertragung

Neue Sicherheitslücken in weiteren Antiviren-Programmen

Neue Sicherheitslücken in weiteren Antiviren-Programmen – In den letzten Tagen sind bei einer ganze Reihe von Sicherheitslösungen für den PC Schwachstellen aufgetaucht. Betroffen sind bzw. waren auch Avira Antivirus und die ESET Antivirus Software. Wer eines der beiden Systeme nutzt, sollte auf jeden Fall das aktuelle Update einspielen, denn dadurch werden diese Lücken geschlossen.

Konkret sind zwei weitere Sicherheitslücken bekannt geworden:

  • Avira Antivirus: Ein lokaler Angreifer kann eine Schwachstelle in Avira AntiVirus ausnutzen, um seine Privilegien zu
    erhöhen und somit die Kontrolle über das System zu übernehmen. Betroffen ist dabei Avira AntiVirus mit Versionen unter 5.0.2003.1821
  • Eset NOD32 Antivirus: Ein lokaler Angreifer kann eine Schwachstelle in Eset NOD32 Antivirus ausnutzen, um seine
    Privilegien zu erhöhen und somit die Kontrolle über das System zu übernehmen

Für beiden Schwachstellen haben die Anbieter mittlerweile Updates bereit gestellt. ESET schreibt selbst im Blog dazu:

ESET prepared a fix, distributed automatically in Antivirus and Antispyware Module 1561. The module is being distributed via automatic product updates, so no user interaction is required. Distribution of the module started on March 31, 2020 at 10:40 CEST for customers using the pre-release update channel and on April 14, 2020 at 10:30 CEST for users using the regular update channel.

Die neuste Version sollte mittlerweile also bereits bei allen Nutzern angekommen sein, wer sicher gehen möchte, dass er die aktuelle Version hat, sollte prüfen, wann das letzte Update eingespielt wurde. Das sollte im besten Fall nach dem 14. April gewesen sein.

Massives Sicherheitsproblem: iOS-App „Mail“ sofort löschen

Massives Sicherheitsproblem: iOS-App „Mail“ sofort löschen – Für die Apple Mail App, die auf allen iPhone und iPad Modellen zum Einsatz kommt, sind zwei sehr schwierwiegende Sicherheitslücken bekannt geworden. Für diese Schwachstellen gibt es leider auch noch kein Update und keinen Patch, so dass Angreifer diese Lücken aktuell noch ausnutzen können. Angreifern ist es dadurch möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich.

Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden. Geräte mit iOS 13 sind also laut dem Bundesamt für Sicherheit in der Informationstechnik noch stärker betroffen.

Dazu BSI-Präsident Arne Schönbohm: „Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet. Wir sind im Austausch mit Apple und haben das Unternehmen aufgefordert, hier schnellstmöglich eine Lösung zur Sicherheit ihrer Produkte zu schaffen.“

So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die AppMail“ unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren.

Das BSI empfiehlt als Vorgehensweise für alle Verbraucher:

  • Löschen der AppMail“ oder Abschaltung der Synchronisation
  • Nach Umsetzung von Punkt 1 kann zum Abrufen und Lesen von E-Mails bis auf weiteres auf andere Apps oder Webmail zurückgegriffen werden
  • Das von Apple angekündigte iOSUpdate sollte schnellstmöglich eingespielt werden, sobald es zur Verfügung steht

Schädlicher Cryptominer tarnt sich als falsche Zoom App

Schädlicher Cryptominer tarnt sich als falsche Zoom App – Zoom wird derzeit sehr gerne für Videokonferenzen genutzt, der reale Meeting sind aufgrund der Corona-Pandemie derzeit in den meisten Fällen nicht mehr möglich. Auf diese Weise kommen auch Nutzer mit der Zoom App in Kontakt, die bisher wenig mit dem System zu tun hatten und dies machen sich auch Kriminelle zu Nutze. Es gibt mittlerweile auch falsche Zoom-Apps, die nur vorgeben Videokonferenzen anzubieten und stattdessen Schadsoftware auf dem eigenen System installieren. Konkret haben die Sicherheitsexperten von SonicWall einen Cryptominer gefunden, der sich als Zoom App tarnt. Nach der Installation wird dann die Leistung des Rechners genutzt im Cryptowähungen zu minen und so das Konto der Kriminellen zu füllen.

Das Unternehmen schreibt im Original dazu:

The Sonicwall Capture Labs threat research team has analyzed several different coronavirus-related malicious online schemes since more people are connecting online from home with typically more relaxed security measures and cybercriminals are certainly taking advantage.

One videoconferencing software has gained so much popularity lately that cybercriminals have seen that as a perfect vector for their malicious activity. Zoom has become so popular that it is one of the most downloaded software applications. A malicious installer bundled with a crypto currency miner has been making the rounds online preying on unsuspecting users wanting to install this videoconferencing program.

Man sollte diese Software (und auch jede andere App) daher nur aus sicheren Quellen installieren und auf Handys und Smartphones beispielsweise dne Playstore oder den App-Store dafür nutzen. Nur dann kann man sicher sein, dass man tatsächlich bekommt, was man auch haben wollte.

Im Zuge der Corona-Infektionen tauchen immer mehr schädliche Programme auf, die als Spam oder Fake-Webseite getarnt sind und mit dem Thema Corona versuchen, die Nutzer zur Installation zu bewegen. Man sollte daher auch beim Thema Corona kritisch sein und die bekannten Hinweise zum Umgang mit Emails und Spam beachten.

 

 

Avira AntiVirus mit Sicherheitsproblemen – Update dringend empfohlen

Smartphone und Internet Sicherheit Symbolbild

Avira AntiVirus mit Sicherheitsproblemen – Update dringend empfohlen – Die Antivirus-Software von Avira soll Rechner normalerweise vor Schadsoftware und Angriffen schützen. Nun sind in der aktuellen Version aber selbst Sicherheitslücken aufgetaucht, so dass die Antivirus Software selbst zu einem Risiko werden könnten. Betroffen sind dabei alle Versionen kleiner als 15.0.2004.1825 und das Unternehmen hat auch bereits ein passendes Update bereit gestellt, dass diese Schwachstellen wieder schließt. Man sollte daher dieses Update so schnell wie möglich einspielen.

Auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt ein zeitnahes Update:

In Avira AntiVirus besteht eine Schwachstelle. Ein Angreifer kann diese ausnutzen, um den Virenschutz außer Kraft zu setzen. Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

Das Unternehmen schreibt selbst zu den Veränderungen in der neuen Version:

VERSION 15.0.2004.1825

    • Release date: April 8th, 2020

BUGFIXES

    • Fixed selfprotection bypass via code injection.
    • The antivirus protection occasionally requires a restart after an upgrade from Internet Security Suite to Prime.
    • The Real-Time scanner service often crashes after a computer restart.

In der Software selbst kann man prüfen, welche Version installiert ist. Sollte diese kleiner sein als die Version 15.0.2004.1825 ist ein Update notwendig und man kann dies auch manuell durchführen. Wir dagegen eine Version größer oder gleich 15.0.2004.1825 angezeigt, ist das System bereits gepatcht und man braucht nichts mehr zu machen.

 

Corona: Immer neue Phishing-Maschen tauchen im Netz auf

Smartphone und Internet Sicherheit Symbolbild

Corona: Immer neue Phishing-Maschen tauchen im Netz auf – Bereits in den letzten Wochen gab es immer wieder Trojaner und Malware, die sich das Thema Corona-Virus zu nutzen machen um Nutzer angreifen zu können. Mittlerweile sind die Kampagnen noch ausgefeilter geworden und es gibt Malware, die gezielt auf Corona-Hilfsmaßnahmen abzielt. Prinzipiell muss man wohl auch davon ausgehen, dass Angriffe unter dem Aufhänger Corona in nächste Zeit noch weiter gehen werden. Das Cyber-Security-Unternehmen SonicWall hat sich einige der laufenden Kampagnen angeschaut und dabei vor allem Pishing Kampagnen näher unter die Lupe genommen.

Das Unternehmen schreibt selbst zu den aktuellen Vorgehensweise der Phisher:

Gefälschte Emails versprechen den Empfängern finanzielle Unterstützung durch Finanzbehörden oder Banken, um Verluste durch die Corona-Krise zu kompensieren. Die scheinbar angehängten Antragsformulare erweisen sich jedoch als Trojaner und andere Schadprogramme, die sensible Daten von den Rechnern der Empfänger stehlen. Eine weitere Masche stellt lukrative Geschäfte mit Medizinprodukten in Aussicht – auch hier befinden sich im Anhang, getarnt als Produktlisten, schädliche Dateien.

Prinzipiell kann man sich mit den normalen Tipps auch gegen Corona-Phishing Kampagnen schützen, dennoch haben die Sicherheitsexperten von Sonicwall nochmal Tipps zusammengestellt, wie man aktuell damit umgehen kann:

  • Seien Sie grundsätzlich vorsichtig bei E-Mails, die Sie nicht angefordert haben und in denen Informationen, Materialien oder Behandlungen für COVID-19 angeboten oder Ihre persönlichen Daten für medizinische Zwecke erfragt werden.
  • Klicken Sie nicht auf Links in fragwürdigen Mails und öffnen Sie keine E-Mail-Anhänge aus Ihnen unbekannten oder nicht verifizierten Quellen. Dadurch könnte ein Virus auf Ihren Computer oder Ihr Gerät heruntergeladen werden.
  • Überprüfen Sie die Webseiten und E-Mail-Adressen, die Informationen, Produkte oder Dienstleistungen im Zusammenhang mit COVID-19 anbieten.
  • Beachten Sie, dass Betrüger oft Adressen verwenden, die sich nur geringfügig von denen der echten Organisationen unterscheiden, die die Kriminellen als Vorwand für ihre Aktivitäten verwenden.

Prinzipiell sollte man bei Corona Informationen (auch außerhalb von Emails) nur auf seriöse und vertrauenswürdige Quellen setzen. Das hilft insgesamt, bei diesem Thema nicht auf Fakes hereinzufallen.