[English]Sicherheitsanbieter Check Point ist auf eine neuartige Schadsoftware gestoßen, die eine komplette Übernahme der Systeme durch eine Backdoor ermöglicht. Zudem kann die Schadsoftware die Kontrolle über Social Media-Accounts von Facebook, Google und Sound Cloud übernehmen. Die Malware wurde über Spiele verbreitet, die im offiziellen Microsoft Store zum Download angeboten wurden. Und das Tragische: Virenscanner wie der Microsoft Defender haben diese Malware nicht erkannt.
Blog-Leser Lucifer hat im Diskussionsbereich auf diese Entdeckung von CheckPoint verwiesen (danke dafür), die in diesem Blog-Beitrag vom 24. Februar 2022 beschrieben wird. Nachfolgender Tweet thematisiert diese Malware ebenfalls.
Check Point Research (CPR) ist auf die neue Malware gestoßen, die aktiv über den offiziellen Store von Microsoft verbreitet wurde und bereits mehr als 5.000 Rechner befalle hat. Die Sicherheitsforscher nennen die neue Malware Electron Bot – in Anlehnung an die C&C-Domäne der letzten Kampagne Electron-Bot[.]s3[.]eu-central-1[.]amazonaws.com.
Electron Bot ist eine modulare SEO-Poisoning-Malware, die für Social-Media-Promotion und Klickbetrug eingesetzt wird. Sie wird hauptsächlich über die Microsoft-Store-Plattform verbreitet und steckt in Dutzenden infizierter Anwendungen. Es handelt sich meist um beliebte Spiele wie wie „Temple Run“ oder „Subway Surfer“, die von den Angreifern ständig hochgeladen werden.
Die Malware kann über C&C-Server ständig neue Befehle der Angreifer ausführen. Dazu gehört auch die Steuerung von Social-Media-Konten bei Facebook, Google und Sound Cloud. Die Malware kann neue Konten registrieren, sich anmelden, andere Beiträge kommentieren und „liken“. Die Angreifer können die installierte Malware als Hintertür nutzen, um die volle Kontrolle über den Computer des Opfers zu erlangen. Die meisten Opfer stammen aus Schweden, Bulgarien, Russland, Bermuda und Spanien.
Seit 2018 aktiv, Virenschutz ausgetrickst
Die Aktivitäten der Angreifer begannen laut Check Point Research bereits Ende 2018 mit einer Werbeklickerkampagne. Die fragliche Malware versteckte sich im Microsoft-Store als App namens „Album by Google Photos“, die vorgab, von Google LLC veröffentlicht zu werden. Die Malware wurde sich im Laufe der Jahre ständig weiterentwickelt, da Angreifer neue Funktionen und Techniken hinzufügen.
Der Bot wurde mit Electron erstellt, einem Framework für die Erstellung plattformübergreifender Desktop-Anwendungen mithilfe von Webskripten. Das Framework kombiniert die Chromium-Rendering-Engine und die Node.js-Laufzeitumgebung, wodurch es die Fähigkeiten eines Browsers erhält, der von Skripten wie JavaScript gesteuert wird.
Um eine Entdeckung zu vermeiden, werden die meisten Skripte, die die Malware steuern, zur Laufzeit dynamisch von den Servern der Angreifer geladen. Dies ermöglicht es den Angreifern, die Nutzlast der Malware zu modifizieren und das Verhalten der Bots jederzeit zu ändern. Lädt der Nutzer eine infizierte Elektron-App aus dem Microsoft Store, beginnt ein Dropper später mit dem Download der Malware und installiert diese.
Der Dropper überprüft zunächst, ob auf dem infizierten Rechner ein Antivirenprodukt installiert ist. Dazu wird eine Liste mit fest kodierten Antiviren-Produkten abgeglichen. Wird ein Antiviren-Produkt gefunden, stoppt das Skript seine Ausführung. Dadurch konnte die Malware nicht durch Antivirus-Software wie den Microsoft Defender oder VirusTotal entdeckt werden. Die Details – auch zur Erkennung und Beseitigung der Malware – sind diesem Artikel zu entnehmen.
Gibt es vielleicht irgendwo eine Liste mit Apps, die betroffen sind? Würde der Defender die Apps nun als schädlich markieren? Würden diese automatisch entfernt werden?
Beide Fragen sind nicht zielführend – laut Check Point Research modifizieren die Angreifer die Apps und laden ständig neue hoch. Es ist davon auszugehen, dass erkannte Apps aus dem Store fliegen – dann aber leicht modifiziert wieder hochgeladen werden. Und wenn das Script beim Defender stoppt, wird es auch nicht erkannt. Es kann also keine App-Liste geben – und die Wahrscheinlichkeit, dass was durch Virenscanner schlüpft, besteht durchaus. Ergo kann diesbezüglich keine Aussage getroffen werden.
Abhilfe schafft die Kontrolle der verwendeten Apps durch Admins in Unternehmen. Und Privatleute müssten schlicht mal darauf achten, was sie sich da auf die Systeme zerren.
„Und Privatleute müssten schlicht mal darauf achten, was sie sich da auf die Systeme zerren.“
Wenn überhaupt noch irgendwas sicher ist dann, dass das nicht geschehen wird! Die „Allgemeinheit“ will blind, faul und vor allem bequem sein…
Das bestätigt einmal mehr, dass Spiele immer ein potenzielles Risiko darstellen. Die meist unbedarften Nutzer – oftmals Jugendliche – kommen z.T. gar nicht auf die Idee, dass etwas Derartiges bei/mit ihren Apps passieren kann. Und solange nicht vordergründig etwas Ungewöhliches passert, kann auch kein Grund zu ‚Panik‘ entstehen.
So ist es zwar tragisch aber nicht erstaunlich, dass die Erkennung solcher Malware mitunter erst Jahre später erfolgt.
Dito!
Ist doch völlig egal was die Anwendung vordergründig macht, es kann genau so gut ein PDF-Konverter oder die im Artikel erwähnte Photo-App sein.
Was man tatsächlich daraus lernt:
1) Anwendungen aus unbekannten Quellen sind ein potentielles Risiko
2) Der Microsoft Store (so wie andere Stores) sind selbst keine bekannte Quelle
Ich formuliere es mal so: Wir alle lernen ja kontinuierlich hinzu.
Geht jetzt nicht um den Microsoft Store – von denen setze ich nichts ein. Aber bei Android sieht man die Lernkurve.
Ich so 2009: Cool Android aus dem Google Play Store sind geprüft, wegen der Dalvik Engine sicher, kann man also gut verwenden.
Ich so 2015: Da gab es das erste Buch, was ich zu Android geschrieben habe – Empfehlung an die ältere Leserschaft: Keine Apps aus fremden Quellen, sondern aus dem Play Store installieren, da ist man auf der sicheren Seite.
Ich so 2022: Die 5. Auflage dieses Büchlein ist entstanden – Empfehlung an die ältere Leserschaft: Möglichst keine App mehr installieren (auch nicht aus dem Google Play Store), wenn man nicht sicher ist, einen renomierten Entwickler zu verwenden. Zu viele Apps aus dem Google Play Store waren infiziert.
Inzwischen setze ich auf meinen Android-Geräten so gut wie keine Fremd-Apps aus dem Google Play Store mehr ein, die nicht von bekannten Entwicklern stammen. Speziell die vielen kleinen Tool-Apps oder Spiele fallen ja gerne durch Beifänge auf.
Jüngste Erkenntnis: Ich hatte Bitdefender als App auf einem Android-Smartphone der Tochter installiert, um ggf. Malware zu erkennen. Dann beschwerte sich meine Frau, dass das Akku des Smartphone ständig leer gesaugt war. Alle möglichen Apps runter geworfen – es brachte keine Besserung. Irgendwann durch Zufall gesehen, dass die Bitdefender-App für 87% der Akku-Entladung zuständig war. App deinstalliert – und seitdem hält der Akku auch wieder 1-2 Tage durch.
Das App-Konzept von MS, Android & Co. ist für meinen Geschmack die letzten Jahre über den Jordan gegangen.