Spionage oder intelligentes Phishing nutzen
SocialPath tarnt sich als App zum Schutz von privaten Daten im Netz, greift aber die Daten der Nutzer ab
SocialPath: Lookout deckt als Datenschutz-Tool getarnte Malware auf
(26.01.15) - Lookout hat "SocialPath" aufgedeckt: eine neue Malware, die sich als App zum Schutz von privaten Daten tarnt. Die Malware SocialPath wurde in Spam-Kampagnen via Twitter und WhatsApp verbreitet. Sie gibt vor, die eigene digitale Privatsphäre zu schützen. Dabei greift sie jedoch persönliche Daten wie Anrufprotokolle, SMS-Nachrichten, Kontakte oder Geräteinformationen ab. Ziel ist es, diese Daten für Spionage oder intelligentes Phishing zu nutzen.
Die Malware betrifft vor allem Länder wie Sudan, Oman, Liberia und Malaysia. Sie wurde aber auch in einer App im Google Play Store gefunden. Nach einem Hinweis von Lookout konnte Google die App frühzeitig aus dem Play Store entfernen.
Hier der Hintergrundartikel zu SocialPath im Lookout-Blog:
Das Datenschutz-Tool, das keines war: Die Malware SocialPath gibt vor, Daten zu schützen, und stiehlt sie dann
Tools zum Schutz der Privatsphäre werden immer wichtiger. Sie informieren Anwender, welche Art von Daten sie mit anderen teilen können, und helfen beim Schutz persönlicher Daten. Da ist es besonders dreist, wenn eine App vorgibt, die Privatsphäre zu schützen, stattdessen aber die Daten des Nutzers stiehlt.
Eine solche Malware hat Lookout kürzlich entdeckt: SocialPath. Diese Malware gibt sich als Online Reputation Management Tool aus, das den Ruf des Nutzers im Internet verwalten soll. SocialPath gibt vor, die Nutzer zu benachrichtigen, wenn irgendwo im Internet ein Foto von ihnen hochgeladen wird. Stattdessen stiehlt die Malware jedoch die Daten der Opfer.
Lookout hat eine Variante dieser Malware-Familie bei Google Play gefunden. Nachdem das Unternehmen Google über die Malware in Kenntnis gesetzt hatte, wurde sie entfernt. Diese Variante gibt vor, ein Backup-Dienst zur Sicherung von Kontakten zu sein. Die App verspricht, in Kürze Features hinzuzufügen, mit denen Fotos, Videos und andere Daten gesichert werden können: "Wenn Sie Ihr Smartphone verlieren, sind wenigstens die Inhalte noch da."
SocialPath greift vorwiegend Nutzer im Sudan an – eine Region, in der seit der Abspaltung des ölreichen Südens immer wieder politische Unruhen um sich greifen. Die Malware hat sich über Spamkampagnen auf beliebten sozialen Netzwerken und Plattformen wie Twitter und WhatsApp verbreitet. Die Spam-Nachrichten verleiten die Nutzer zum Anklicken eines Kurz-Links, der den Download auslöst. Eine Spamkampagne hat beispielsweise folgende Nachricht versendet: "Ich habe deine privaten Bilder hier gefunden. Klicke auf [Link], um sie anzusehen."
Nachdem Lookout eine Reihe von Bit.ly-Links untersucht hatte, war das Unternehmen in der Lage, diese Kampagnen in Aktion zu beobachten. Eine Kampagne erreichte 5.961 Klicks, von denen die meisten Klicks aus dem Libanon kamen. Sudan und Oman folgten an zweiter bzw. dritter Stelle.
Wenn man sich für den Fake-Dienst anmeldet, werden eine ganze Reihe persönlicher Daten abgefragt, u. a. vollständiger Name, E-Mail-Adresse, Telefonnummer, Wohnort und ein persönliches Foto. Der BootStartUpReceiver initiiert dann den Backend-Dienst und verbindet sich mit dem Command and Control Server (C&C).
An diesen werden die persönlichen Informationen sowie weitere Daten übermittelt, die heimlich auf dem Gerät erfasst werden:
>> auf dem Gerät gespeicherte Kontakte
>> SMS-Nachrichten
>> detaillierte Anrufprotokolle (Nummer, Datum, Dauer, Art, neu oder alt, Art der Nummer, Kennung der Nummer)
>> Geräteinformationen (MAC, Anbieter, Land)
Während sich das Opfer registriert, zeigt die Malware zunächst ein Symbol im Launcher an. Sobald die Registrierung jedoch abgeschlossen ist, löscht die Malware ihr eigenes Symbol, um auf dem Gerät verborgen zu bleiben. Eigentümlicherweise ist die Malware auch in der Lage, beliebige Nummern anzurufen, die vom C&C Server vorgegeben werden, und nach einer bestimmten Zeit wieder aufzulegen. Dieser Prozess könnte als mögliche Einnahmequelle genutzt werden: Malware-Entwickler rufen Premium-Nummern an, um entsprechende Gebühren zu erheben. Die Malware löscht dann den Anrufverlauf, um ihre Aktivitäten zu verschleiern.
Lookout vermutet aufgrund von Hinweisen im Code, dass die Entwickler dieser Malware Arabisch sprechen. Neben dem Sudan greift SocialPath auch Opfer in Oman, Äquatorialguinea, Burkina Faso, Liberia und Malaysia an. Obwohl das Vorkommen dieser Bedrohung global betrachtet gering ist, ist es die am häufigsten festgestellte Malware in den betroffenen Ländern.
Ob es sich um ein politisches Spionagewerkzeug oder eine fortschrittliche Phishing-Methode handelt – SocialPath lehrt die Verbraucher, besonders vorsichtig in der Wahl der Tools zu sein, die sie zum Schutz ihrer Daten und Privatsphäre verwenden.
Worauf Sie immer achten sollten:
>> Laden Sie Apps von vertrauenswürdigen Entwicklern herunter.
>> Lesen Sie Bewertungen und finden Sie mehr über die Entwickler heraus.
>> Wählen Sie sorgsam ein vertrauenswürdiges Produkt, insbesondere wenn dieses Tool den Schutz sensibler Daten anpreist.
>> Laden Sie niemals Apps von unbekannten Marktplätzen herunter.
(Lookout: ra)
Lookout Mobile Security: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.