COVID-19 breitet sich aus, und die Menschen suchen nach zuverlässigen Informationen über das Virus und seine Auswirkungen. Gleichzeitig nutzen Regierungen und Unternehmen in großem Umfang die Kommunikation über E-Mail, Textnachrichten und andere digitale Hilfsmittel, um mit Bürgern und ebenso mit Kunden zu kommunizieren.
Wenig überraschend sind Cyberkriminelle und Betrüger sehr schnell auf den Zug aufgesprungen. Sie machen sich den Wunsch jedes Einzelnen zunutze, auf dem Laufenden zu bleiben, Gesundheitstipps zu finden oder die Verbreitung der Krankheit nachzuverfolgen.
Die Sicherheitsforscher von Lookout haben potenziell bösartige mobile Anwendungen im Zusammenhang mit der Corona-Krise untersucht und sind dabei auf eine Android-App gestoßen. Sie scheint das jüngste Werkzeug einer größeren mobilen Überwachungskampagne zu sein. Sie operiert von Libyen aus und richtet sich gegen libysche Personen.
corona live 1.1. versus „Corona live“-App
Die App trägt die Bezeichnung „corona live 1.1.“ Beim ersten Start informiert die App den Benutzer darüber, dass sie keine besonderen Zugriffsrechte benötigt, verlangt aber anschließend Zugriff auf Fotos, Medien, Dateien und den Speicherort des Geräts sowie die Erlaubnis Bilder und Videos aufzunehmen. In Wirklichkeit ist die ‚corona live 1.1‘-App ein Beispiel für SpyMax, eine trojanisierte Version der seriösen „Corona live“-App (SHA1: 134b53eb8b772f752ae4019b5f9b660c780e7773), die eine Schnittstelle zu den Daten des Johns Hopkins-Coronavirus-Trackers , einschließlich Infektionsraten und Anzahl der Todesfälle über die Zeit und pro Land, bereitstellt.
SpyMax ist eine Familie kommerzieller Überwachungssoftware, die anscheinend von denselben Entwicklern konzipiert wurde wie SpyNote, eine weitere kostengünstige kommerzielle Android-Überwachungssoftware. SpyMax verfügt über sämtliche Möglichkeiten eines Standard-Spionagetools. In Malware-Foren werden besonders ihre „einfache grafische Oberfläche“ und die Benutzerfreundlichkeit gelobt. SpyMax gestattet es einem Angreifer auf eine Vielzahl sensibler Daten auf dem jeweiligen Smartphone zuzugreifen, bietet einen Shell-Terminal sowie die Möglichkeit, Mikrofon und Kamera ferngesteuert zu aktivieren.
Teil einer größeren Spyware-Kampagne
Während diese „corona live 1.1“-App selbst auf mehr Funktionalitäten zu warten scheint, speichert sie Befehls- und Kontrolldaten (C2) in Ressourcen/Werten/Strings, wie es in SpyMax- und SpyNote-Samples üblich ist, bei denen die festcodierte Adresse des Angreifer-Servers enthalten ist. Die Ausgliederung der Domäne des C2-Servers gestattete es den Sicherheitsforschern, 30 einzigartige APKs zu finden, die sich scheinbar im Rahmen einer größeren Überwachungskampagne (welche seit mindestens April 2019 läuft) die Infrastruktur teilen. Die von diesem Akteur verwendeten Anwendungen sind voll funktionsfähig und gehören zu den unterschiedlichsten kommerziellen Spyware-Familien, wie SpyMax, SpyNote, SonicSpy, SandroRat und Mobihok.
Die Bezeichnungen dieser Apps sind ziemlich allgemein gehalten. Die beiden neuesten sind Covid-19-bezogen, mit einem weiteren Beispiel namens „Crona“. Drei Anwendungen unter dem Namen „Libya Mobile Lookup“ haben das besondere Interesse der Sicherheitsforscher geweckt. Diese trojanisierten Anwendungen gehören zur SpyNote-Familie und sind die ersten Beispiele, die mit der besagten C2-Infrastruktur kommunizieren. Das deutet darauf hin, dass sie wahrscheinlich auch die ersten Apps waren, die im Rahmen dieser Überwachungskampagne eingeführt wurden. Sie geben bereits einen Einblick, welche demografische Zielgruppe die Kampagne im Visier hat.
Fazit
Spyware-Kampagnen zeigen, wie in Krisenzeiten unser angeborenes Informationsbedürfnis für böswillige Zwecke und gegen uns selbst genutzt werden kann. Darüber hinaus macht es die Kommerzialisierung von Spyware-Kits – die sozusagen „von der Stange“ zu haben sind – es böswilligen Akteuren ziemlich einfach, maßgeschneiderte Kampagnen fast so schnell zu starten wie sich eine Krise manifestiert. Die Apps waren übrigens nie im GooglePlay-Store verfügbar. Mehr denn je gilt also, möglichst keine Apps aus App-Stores von Drittanbietern herunterzuladen und nicht auf verdächtige Links zu „informativen“ Websites oder in Apps, die per SMS verbreitet werden, zu klicken.