Android-Malware, Nachrichtenleser

Jena - Nachrichtenleser in Gilgit-Baltistan, einer Region in Pakistan, sind Opfer einer raffinierten Cyberattacke geworden: Wie ESET-Forscher entdeckt haben, konnten Hacker die regionale, beliebte Nachrichtenseite Hunza-News zur Verbreitung einer Spyware missbrauchen.

09.11.2023 - 11:40:00

Android-Malware spioniert Nachrichtenleser in der Kaschmir-Region aus. Auf der Webseite stellen die Hacker eine Smartphone-App zur Verfügung, mit der Nutzer auf die Informationen zugreifen können. Der Haken dabei: Bei der Anwendung handelt es sich um eine Malware, die im Hintergrund sensible Daten an die Strippenzieher abführt. Besonders fies: Die Opfer merken nichts vom Datenabfluss, da die App alle Funktionen einer normalen Nachrichtenanwendung aufweist. Diese lässt sich immer noch über die Webseite herunterladen.

"Die bösartige App zielt speziell auf Urdu-sprachige Nutzer ab, die über Android-Geräte auf die Website zugreifen. Da sie jedoch eine einzigartige Codebasis aufweist, die sich von anderer Android-Spyware unterscheidet, kann sie keiner bekannten Advanced Persistent Threat-Gruppe zugeordnet werden", sagt ESET-Forscher Lukas Stefanko, der die Kamran-Spyware entdeckt hat. "Diese Spyware zeigt einmal mehr, wie wichtig es ist, Apps ausschließlich von vertrauenswürdigen und offiziellen Quellen herunterzuladen."

Das Team um Lukas Stefanko hat die Malware nach ihrem Paketnamen "Kamran" benannt – ein in der Region gebräuchlicher Vorname, der "Glück" oder "glücklich" bedeutet.

Kamran: Angriff aufs Wasserloch

Bei solchen Attacken sprechen Sicherheitsexperten von "Watering Hole"-Angriffen: Cyberkriminelle infizieren eine Webseite und verteilen darüber ihre Schadsoftware. Heimtückisch ist, dass Opfer davon ausgehen, offizielle und legitime Anwendungen herunterzuladen, in Wahrheit aber Malware installieren.

Die bösartige App erschien zwischen 7. Januar 2023 und 21. März 2023 auf der Webseite. Das Entwicklerzertifikat wurde am 10. Januar 2023 ausgestellt. Zu dieser Zeit fanden in Gilgit-Baltistan Proteste aus verschiedenen Gründen statt, darunter zum Thema Landrechte, Steuerfragen, anhaltende Stromausfälle und Rückgang der subventionierten Weizenlieferungen.

Spyware ist immer noch verfügbar

Die Schadsoftware ist nicht im offiziellen Google Play Store verfügbar, sondern muss manuell über ein Android-Paket (APK) installiert werden. Bei der Einrichtung erfragt sie weitreichende Zugriffsberechtigungen. Sollten Nutzer diese erteilen, fängt Kamran sofort an, Kontakte, Kalenderereignisse, Anrufprotokolle, Standortinformationen, Gerätedateien, SMS-Nachrichten, Bilder an ihre Hintermänner weiterzuleiten.

Hunza-News ist aufgrund der Mehrsprachigkeit der Bevölkerung auf Englisch und Urdu, der dortigen Verkehrssprache, verfügbar. Die schadhafte APK-Datei lässt sich sowohl in der Desktop- als auch in der Mobilversion herunterladen, mobil allerdings nur auf der Urdu-Seite. Kamran ist in allen Versionen bis heute noch verfügbar, die Webseitenbetreiber haben auf Anfragen von ESET bis heute nicht reagiert.

Über Hunza-News und die Region Hunza-News, wahrscheinlich benannt nach dem Hunza-Distrikt oder dem Hunza-Tal, ist eine Online-Zeitung, die seit 2013 Nachrichten aus der Region Gilgit-Baltistan liefert. In 2015 begann Hunza-News eine legitime Android-Anwendung anzubieten, die im Google Play Store erhältlich war. ESET geht davon aus, dass zwei Versionen dieser Anwendung auf Google Play veröffentlicht wurden, wobei keine der beiden Versionen bösartige Funktionen enthält. Das autonome Gilgit-Baltistan gehört zur umstrittenen Kaschmir-Region, um deren Kontrolle sich Pakistan, Indien und China streiten.

Weitere technische Informationen über die Spyware Kamran finden Sie im Blogpost ( https://www.welivesecurity.com/de/eset-research/der-unglueckliche-kamran-android-malware-spioniert-urdu-sprechende-einwohner-von-gilgit-baltistan-aus/ ) "Der unglückliche Kamran: Android-Malware spioniert Urdu sprechende Einwohner von Gilgit-Baltistan aus".

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de

@ pressetext.de