Kampagne mit Überwachungssoftware
Covid-19: Mobile Malware nationalstaatlicher Akteure richtet sich gegen syrische Nutzer
Die Forscher des Lookout-Teams haben dabei 66 böswillige Android Apps gefunden, die sich alle mit ein- und demselben Command und Control Server (C2) verbinden
Das Research-Team von Lookout hat eine bereits seit längerem andauernde Kampagne mit Überwachungssoftware aufgedeckt, die auf nationalstaatliche syrische Akteure zurückzugehen scheint. Die aktuelle Ausprägung nutzt das neuartige Corona-Virus als Anlass, um die Opfer dazu zu bringen die entsprechende Malware herunterzuladen. Die Kampagne als solche scheint bereits seit dem Januar 2018 aktiv zu sein und richtet sich insbesondere gegen arabisch sprechende Benutzer, vornehmlich in Syrien und den angrenzenden Regionen. Keine der betreffenden Apps ist über den offiziellen Google Play Store erhältlich. Das legt nahe, dass sich die Malware wahrscheinlich über Watering-Hole-Angriffe oder App Stores von Drittanbietern verbreitet hat. Lookout hat vor einiger Zeit über eine andere ähnlich gelagerte Covid-19-bezogene Kampagne berichtet, die sich gegen Libyen richtete.
Anwendungen dieser Surveillance-Kampagne ahmen eine Reihe von verschiedenen Apps nach - mit Namen wie "Covid19", "Telegram Covid_19", "Android Telegram" und "Threema Arabic" (eine Ende-zu-Ende verschlüsselte Messaging App), aber auch Booster für den Handyempfang und Apps der OfficeSuite. Die Namen suggerieren dabei die Nähe zu den anvisierten syrischen Zielen – etwa mit Namen wie "com.syria.tel", "syria.tel.ctu" und "com.syriatel.ctu".
Die Forscher des Lookout-Teams haben dabei 66 böswillige Android Apps gefunden, die sich alle mit ein- und demselben Command und Control Server (C2) verbinden. Der IP-Adressen-Block des betreffenden C2-Servers gehört zu denen des Internet Providers Tarassul. Ein ISP, der im Besitz des Syrian Telecommunications Establishment (STE) ist und sich mit diesem auch die Infrastruktur teilt. Zur Historie der STE gehört, dass der Betreiber die Infrastruktur für die Syrian Electronic Army (SEA) bereitgestellt hat – eine vom syrischen Staat unterstützte Hackergruppierung. Bemerkenswert ist zudem, dass auch die IP-Adressblöcke der SilverHawk C2-Server einer Android Malware-Familie, ebenfalls zur STE gehören. (Lookout Mobile Security: ra)
eingetragen: 27.04.20
Newsletterlauf: 20.07.20
Lookout Mobile Security: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.