Phishing-Websites als Webplattformen


Weltweite Malware-Kampagne gefährdet Smartphones und Bankkonten
Zimperium identifiziert mobile Malware-Kampagne, die sich gezielt gegen Banking-Apps richtet


Zimperium hat neue Erkenntnisse zu einer sicherheitskritischen Malware-Kampagne veröffentlicht, die Funktionen zweier Schadprogramme kombiniert. Die Untersuchungen der Zimperium-Forscher zeigen, dass aktuell sowohl Gigabud- als auch Spynote-Samples über Domänen mit ähnlichen Strukturen und Subdomains verbreitet werden. Ziel der weltweit koordinierten Phishing-Website-Kampagne ist die Installation bösartiger Mobil-Apps für verschiedene Finanzinstitute.

Der Banking-Trojaner Gigabud verleitet Benutzer dazu, sensible Berechtigungen freizugeben, was zu betrügerischen Transaktionen führt, während die Android-Malware Spynote es Angreifern ermöglicht, die volle Kontrolle über infizierte Mobilgeräte zu übernehmen. Angreifer verschaffen sich so Fernsteuerungsmöglichkeiten, um infizierte Geräte ausspähen, sensible Nutzerdaten mitlesen und Passwörter stehlen zu können. Das koordinierte Zusammenwirken von Gigabud und Spynote erhöht die Bedrohungslage nicht nur für Endverbraucher, sondern auch für Geschäftsanwender, die mit einem kompromittierten Gerät arbeiten.

Die Analysen von Zimperium zeigen viele Überschneidungen zwischen beiden Malware-Familien auf. So werden Gigabud und Spynote über die gleichen Domains verbreitet, was eine koordinierte Vorgehensweise der gleichen Hinterleute nahelegt. Die Bedrohungsakteure nutzen Spynote, um Geräte fernzusteuern, Daten zu stehlen oder den Standort nachzuverfolgen. Mit Gigabud wiederum lassen sich die Anmeldedaten von Banking-Apps rauben.

Betroffen von der weltweiten Kampagne sind unterschiedliche Finanzinstitute, wobei die eingesetzten Phishing-Websites als Webplattformen großer Fluggesellschaften, E-Commerce-Plattformen und Regierungsstellen getarnt werden. Zimperium identifizierte elf Command-and-Control-Server und 79 Phishing-Websites, die vertrauenswürdige Anbieter kopierten. Die Domänen verleiten Benutzer dazu, bösartige Mobil-Apps herunterzuladen oder umfangreiche Berechtigungen zu erteilen, mit denen Angreifer vollen Zugriff auf mobile Endgeräte erhalten.

Mittlerweile verlagern die Bedrohungsakteure ihren Fokus immer stärker von gefälschten Behördenseiten auf vermeintlich legitime Angebote großer Finanzinstitute. Zimperiums zLabs-Forscher entdeckten über 50 mobile Banking-Apps von mehr als 40 Banken und weitere zehn Kryptowährungsplattformen, die im Rahmen der Kampagne zum Einsatz kommen.

Die Malware wird durch den Packer "Virbox" geschützt — das Packprogramm erschwert eine Erkennung und Analyse. Durch diese fortschrittliche Verschleierungstechnik können herkömmliche Abwehrmaßnahmen umgangen und die Wirksamkeit der Bedrohung gesteigert werden.

"Das Zusammenspiel zwischen Gigabud und Spynote dokumentiert die wachsende Komplexität mobiler Malware-Angriffe”, betont Nico Chiaraviglio, Chief Scientist bei Zimperium. "Unsere neuesten Forschungsergebnisse unterstreichen zugleich die Bedeutung von Echtzeit-Erkennungstechnologien, die Mobilgeräte gegen sich schnell entwickelnde Bedrohungen schützen." (Zimperium: ra)

eingetragen: 01.12.24
Newsletterlauf: 10.12.24

Zimperium: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Malware "Perfctl" befällt seit Jahren Linux-Server Sparkling Pisces nutzt neue Malware-Varianten

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen