(nur auf Englisch verfügbar)
Wie eine bösartige App die Fans der FIFA Katar ins Visier genommen hat
Angesichts der Tatsache, dass Smartphones im Grunde zu einer Verlängerung unserer Hand geworden sind, ist es logisch, dass die Menschen immer auf der Suche nach verschiedenen Anwendungen sind, die ihre Bedürfnisse abdecken. Wenn Sie ein Fußballfan sind und über die FIFA Fussball-Weltmeisterschaft in Katar auf dem Laufenden bleiben möchten, scheint eine App, mit der Sie die Spielergebnisse Ihrer Mannschaften erhalten und die Spiele live verfolgen können, eine gute Idee zu sein.
In einem Versuch, dieses Bedürfnis zu befriedigen, ist auf Facebook eine Anwendung entstanden, die auf den ersten Blick den Spielstand der Spiele, Nachrichten und sogar den Live-Feed für einige Spiele bietet. Die Anwendung führt jedoch noch etwas anderes im Hintergrund aus, nämlich die Infizierung des mobilen Geräts und die Möglichkeit für Angreifer, persönliche Informationen und Dateien abzugreifen.
**Haftungsausschluss**: Die Anwendung wird immer noch über die unten genannten Quellen verbreitet. Der CandC-Server der Anwendung ist immer noch aktiv. Die Verwendung der auf dieser Seite bereitgestellten Informationen erfolgt auf eigene Gefahr.
Die Anwendung wurde erstmals am 25.11.2022 von ESET entdeckt. Möglicherweise gibt es mehrere Facebook-Gruppen, die mit ihr in Verbindung stehen, ähnlich wie die unten gezeigte.
Diese Facebook-Gruppe und alle anderen leiten den Benutzer lediglich auf die URL *kora442[.]com* weiter, die die Hauptseite ist, auf der die bösartige Anwendung verbreitet wird. Diese Seite ist während des Schreibens dieses Blogbeitrags immer noch aktiv und sieht folgendermaßen aus.
Im Folgenden finden Sie die Details der App.
Paket-Details
- Name der Anwendung: Kora 442
- Paketname: com.app.projectappkora
- Versionsnummer: 1
- Versionsbezeichnung: 1.0
- Minimum SDK: 21
- Ziel-SDK: 21
- Sha256: 3f19efe7ea5aed42c2876683278a4afffc5a696c5ecb5dec5319ff715a673474
- Sicherung zulassen: false
Nach der Installation wird ein Bildschirm mit allen Berechtigungen angezeigt, die die App benötigt:
Wenn wir versuchen, eine der Berechtigungen zu entfernen, erscheint die folgende Meldung:
Die Meldung informiert den Benutzer, dass die App möglicherweise nicht wie vorgesehen funktioniert, wenn eine der Berechtigungen verweigert wird. Das ist der Grund, warum die Entwickler der App beschlossen haben, als Ziel-SDK die Stufe 21 zu verwenden. Das macht es den ahnungslosen Benutzern leichter, alle Berechtigungen auf einmal zu akzeptieren und von dort aus fortzufahren.
Die folgende Abbildung zeigt, wie die App nach der Installation aussieht und welchen Datenverkehr sie erzeugt:
Als die Anwendung auf einem virtuellen Gerät installiert wurde, gab es zunächst keine Anzeichen für bösartige Aktivitäten. Eine weitere Untersuchung ergab, dass die Entwickler vorsichtig waren und mehrere Prüfungen implementiert hatten, um zu verhindern, dass die Anwendung in solchen Fällen ausgeführt wird. Der Datenverkehr, der in Richtung des Command and Controls (C&C)-Servers (firebasecrashanalyticz[.]com) generiert wurde, wie in der obigen Abbildung zu sehen ist, trat erst nach Umgehung dieser Prüfungen auf.
Weitere interessante Funktionen, die die Anwendung bietet, sind die folgenden:
- Verschlüsselte Exfiltration von Dateien/Ordnern
- Aufzeichnung von Anrufen/Tönen
- Zugriff auf die Kamera
- Ausführen von Befehlen in der Shell (Überprüfung auf Superuser-Zugriff)
Fast sofort, nachdem der Benutzer die Anwendung gestartet hat, beginnt im Hintergrund ein Dienst mit der Überwachung des Geräts. So wird z.B. die Zwischenablage überwacht und alles, was kopiert wird, wird als temporäre Datei im lokalen Speicher der App gespeichert, die dann gezippt und mit einem Passwort geschützt und langsam auf den Server hochgeladen wird. Die Entwickler haben gute Arbeit geleistet, um während der Exfiltration unauffällig zu bleiben, indem sie parallele Operationen vermieden haben, die zu einem übermäßigen Ressourcenverbrauch führen würden.
Zum Zeitpunkt des Verfassens dieses Blog-Beitrags hat es die Anwendung bereits geschafft, mehr als 1000 Benutzer zu infizieren. Eine kurze Analyse der Zeitzone der infizierten Benutzer sehen Sie unten.
Fast 90 % der Benutzer haben die Zeitzone "Asien/Jerusalem", was höchstwahrscheinlich bedeutet, dass sich die Entwickler in der gleichen Zeitzone befinden oder dass die Infektionen auf eine Region ausgerichtet sind.
Die Zahl der infizierten Benutzer wird täglich steigen, bis der Server, auf dem die Anwendung und die API gehostet werden, abgeschaltet wird.
Tipps zum Erkennen bösartiger Anwendungen:
- Der erste und vielleicht wichtigste ist, dass Sie nur verifizierte Anwendungen oder Anwendungen mit einer hohen Anzahl von Nutzern ( 100K) herunterladen.
- Prüfen Sie die Kommentare, die andere Benutzer zu dieser Anwendung hinterlassen haben, und achten Sie auf die 1/2-Sterne-Kommentare.
- Wenn eine Anwendung Sie um eine übermäßige Anzahl von Berechtigungen bittet, sollten Sie besonders wachsam sein.
- Achten Sie auf ungewöhnliches Verhalten, wie z.B. Popup-Werbung, die Sie bisher nicht kannten.
- Achten Sie auf ungewöhnliche Datennutzung. Wie im Fall der App, die wir oben gesehen haben, sollten wir, nachdem das Hochladen der Dateien abgeschlossen ist, dies am Datenverbrauch bemerken.
- Und zu guter Letzt sollten Sie die Verwendung einer Sicherheits-App in Erwägung ziehen, die die Abwehrkräfte für Sie aufrecht erhält.
Wenn Sie Fragen zu diesem Blog haben, können Sie uns gerne kontaktieren.