ESET-Forscher haben eine fiese Spionagekampagne entdeckt, die Android-Nutzer in Südasien ins Visier nimmt. Vor allem Menschen in Indien und Pakistan sind betroffen. Die Masche der Hackergruppe: Gefälschte Messenger-Apps, die zwar funktionieren, gleichzeitig aber Schadcode enthalten und sensible Daten stehlen.
Mit dieser Attacke spionierte die bis dato unbekannte und von ESET “Virtual Invaders” getaufte Gruppe gezielt Android-Nutzer in der Region aus. Virtual Invaders war von November 2021 bis Ende 2023 aktiv und verbreitete die Fake-Apps über spezielle Webseiten und auf Google Play.
“Es kommt immer wieder vor, dass Cyberkriminelle funktionierende Apps programmieren und veröffentlichen, um an Daten von Nutzern zu gelangen”, sagt ESET-Forscher Lukas Stefanko, der die Kampagne entdeckt hat. “Nutzer sollten sich bei ihren Messenger-Apps auf die gängigen Anbieter verlassen und vor allem davon absehen, Anwendungen aus unseriösen Quellen herunterzuladen.”
Zahlreiche Fake-Apps mit weitreichenden Rechten
Die Apps waren äußerlich nicht von legitimen Messengern zu unterscheiden. Schaute man allerdings unter die Haube, ergab sich ein anderes Bild: Alle Apps enthielten den Open-Source-Schadcode Android XploitSPY RAT. Dieser beliebte Code ermöglicht Hackern, Kontaktlisten und Dateien zu extrahieren, den GPS-Standort des Geräts auszulesen und die Namen bestimmter Ordner herauszufinden. Hierzu gehörten Verzeichnisse wie der Kamera- und Downloads-Ordner sowie anderen Messaging-Apps, z. B. Telegram und WhatsApp. Hatten die Hacker eine interessant klingende Datei gefunden, reichte ein Befehl vom Command-and-Control-Server (C&C), um sie zu extrahieren.
Darüber hinaus verwandelten die Fake-Apps betroffene Smartphones in regelrechte Wanzen: Auf Befehl der Hacker hin griffen die Anwendungen auf Kameras und Mikrofone der Geräte zu, um ihre Umgebung auszuhorchen. “Interessanterweise ist die Implementierung der in XploitSPY integrierten Chatfunktion einzigartig; wir gehen deshalb davon aus, dass diese Chatfunktion von der Virtual Invaders-Gruppe entwickelt wurde”, so Stefanko weiter.
Android-Malware versteckt sich vor Sicherheitstools
Die Malware verwendet eine systemeigene Bibliothek, die häufig bei der Entwicklung von Android-Apps zur Verbesserung der Leistung und zum Zugriff auf Systemfunktionen eingesetzt wird. In diesem Fall wird die Bibliothek jedoch verwendet, um sensible Informationen zu verbergen, wie z. B. die Adressen der C&C-Server, wodurch es für Sicherheitstools schwieriger wird, die App zu analysieren. Die Kampagne hat sich im Laufe der Jahre weiterentwickelt und umfasst nun auch Verschleierung, Emulatorerkennung und das Verstecken von C&C-Adressen.
Google Play hat die betroffenen Apps – Dink Messenger, Sim Info und Defcom – nach ihrer Entdeckung entfernt. Darüber hinaus hat ESET als Partner der Google App Defense Alliance zehn weitere Apps identifiziert, die auf Code von XploitSPY basieren und Google darüber informiert, woraufhin diese ebenso entfernt wurden.
Alle schadhaften Apps wiesen nur eine geringe Anzahl von Installationen auf. Dies deutet eher auf einen gezielten Ansatz als eine breit angelegte Strategie hin. Insgesamt haben rund 380 Nutzer die Apps von Websites und aus dem Google Play Store heruntergeladen und Konten erstellt, um die Nachrichtenfunktionen zu nutzen. Aufgrund des gezielten Charakters der Kampagne ist die Anzahl der Installationen der einzelnen Apps von Google Play relativ gering: Sie liegt zwischen null und 45.
Weitere technische Informationen über diese Kampagne finden Sie im Blogbeitrag “eXotic Visit campaign: Tracing the footprints of Virtual Invaders”.
www.eset.de