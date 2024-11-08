Eine neue Android-Malware-Variante namens SpyAgent macht die Runde – und stiehlt dabei Screenshots. Mithilfe der OCR-Technologie (optische Zeichenerkennung) sucht die Malware nach Kryptowährungs-Wiederherstellungsphrasen, die häufig in Screenshots auf den Benutzergeräten gespeichert sind.
So können Sie dem Schlimmsten entgehen.
Angriffe beginnen – wie immer – mit Phishing-Aktionen. Nutzer erhalten Textnachrichten, die sie auffordern, scheinbar legitime Apps herunterzuladen. Wenn sie den Köder schlucken und die App installieren, macht sich die SpyAgent-Malware an die Arbeit.
Das Ziel? Screenshots der 12-24 Wörter umfassenden Wiederherstellungsphrasen, die für Kryptowährungs-Geldbörsen verwendet werden. Da diese Phrasen zu lang sind, um sie leicht zu merken, machen Nutzer oft Screenshots zur späteren Referenz. Wenn Angreifer diese Bildschirmaufnahmen kompromittieren, können sie Krypto-Wallets auf einem Gerät ihrer Wahl wiederherstellen und so die gesamte darin enthaltene digitale Währung stehlen. Und sobald die Gelder weg sind, sind sie weg – die Natur der Kryptowährungsprotokolle bedeutet, dass Transaktionen nach Abschluss nicht rückgängig gemacht werden können. Wenn Geld an die falsche Adresse gesendet wird, müssen die Absender die Empfänger bitten, eine Rücksendetransaktion zu erstellen und abzuschließen.
Wenn Benutzer einen Screenshot ihrer Wiederherstellungsphrase machen und diese von SpyAgent gestohlen wird, müssen Angreifer nur noch die Wallet wiederherstellen und die Gelder an ein Ziel ihrer Wahl überweisen.
Das Malware kursiert in Südkorea; laut Coin Telegraph sind mehr als 280 APKs betroffen. Diese Anwendungen werden außerhalb des offiziellen Google Play Store vertrieben, oft über SMS-Nachrichten oder Beiträge in sozialen Medien, um das Interesse der Nutzer zu wecken. Einige der infizierten Apps imitieren südkoreanische oder britische Regierungsdienste, während es sich bei anderen um Chat-Anwendungen oder Anwendungen für nicht jugendfreie Inhalte handelt.
Es gibt auch Anzeichen dafür, dass die Angreifer möglicherweise eine Ausweitung ihrer Aktivitäten auf das Vereinigte Königreich vorbereiten, was wiederum zu einer noch größeren Kompromittierung führen könnte. Und obwohl die Malware derzeit nur für Android verfügbar ist, gibt es Anzeichen dafür, dass eine iOS-Version in Entwicklung sein könnte.
Branchen-Newsletter
Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und mehr auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Während die Wiederherstellungsphrasen für Kryptowährungen für SpyAgent höchste Priorität haben, bedeutet die Verwendung der OCR-Technologie, dass jedes Bild zugänglich ist. Wenn beispielsweise auf den Geräten des Unternehmens Screenshots von Benutzernamen und Passwörtern für Datenbanken oder Analyse-Tools gespeichert sind, könnten die Assets des Unternehmens in Gefahr sein. Stellen Sie sich einen Manager vor, der Zugriff auf mehrere sichere Dienste hat, von denen jeder ein eigenes Passwort erfordert, um das Risiko eines Sicherheitsvorfalls zu minimieren. Um die Passwörter sicher aufzubewahren, sie aber dennoch bei Bedarf verfügbar zu haben, erstellt unser gutmeinender Manager eine Liste und macht einen Screenshot von den verschiedenen Zugangsdaten. Weil es glaubt, dass sein Gerät sicher ist, verwendet das Unternehmen Lösungen wie Multi-Factor Authentication (MFA) und sicheres Single Sign-On (SSO), und es sieht den Screenshot nicht als Risiko an.
Wenn Hacker den Mitarbeiter jedoch dazu bringen, auf einen Link zu klicken und infizierte Anwendungen herunterzuladen, können Angreifer gespeicherte Bilddaten einsehen und stehlen und diese Daten dann nutzen, um sich auf „legitime“ Weise Zugang zum Konto zu verschaffen.
Ein weiteres potenzielles Risiko ergibt sich aus personenbezogenen Daten. Nutzer könnten Screenshots der persönlichen Gesundheit oder Finanzdaten besitzen, wodurch sie dem Risiko von Datenexfiltration und Identitätsdiebstahl ausgesetzt sind. Sie könnten auch vertrauliche Kontaktdaten von Geschäftspartnern oder Führungskräften haben, was die Tür für eine weitere Runde von Phishing-Angriffen öffnet.
Dieser bildbasierte Ansatz zur Kompromittierung stellt Sicherheitsteams vor zwei Probleme. Erstens ist da die für die Erkennung benötigte Zeit. Unternehmen benötigen durchschnittlich 258 Tage, um einen Vorfall zu erkennen und einzudämmen, wie der IBM 2024 Data Breach Kostenreport zeigt. Diese Zahl gilt jedoch nur, wenn die Sicherheitsvorkehrungen auf allen Ebenen optimal funktionieren. Wenn mobile Geräte durch Nutzeraktionen kompromittiert werden und der einzige Zweck der Malware darin besteht, Screenshots zu finden und zu stehlen, könnte das Problem viel länger unbemerkt bleiben, besonders wenn Angreifer abwarten.
Sobald Kriminelle zum Angriff übergehen, kann der Schaden beträchtlich sein. Mithilfe gestohlener Zugangsdaten können Angreifer Zugriff auf kritische Dienste erlangen und Kontoinhaber aussperren. Von dort aus können sie Daten aus einer Vielzahl von IT-Systemen und -Diensten erfassen und exfiltrieren. Diese direkte Maßnahme alarmiert zwar die IT-Teams, doch die Sicherheitsreaktion ist naturgemäß reaktiv, was bedeutet, dass Unternehmen den Angriff nicht verhindern können; sie versuchen lediglich, den Schaden zu mindern.
Die Botschaft hier ist einfach: Was auf Ihrem Handy ist, ist nie ganz sicher. Screenshots von Passwörtern zur Krypto-Wiederherstellung, Unternehmens-Logins und Passwörtern oder personenbezogenen Daten wie Sozialversicherungsnummern oder Bankkontodaten sind wertvolle Ziele für Angreifer.
Der Katastrophe auszuweichen bedeutet auch, nicht auf den Köder einzugehen: Reagieren Sie nicht auf unerwünschte Nachrichten und laden Sie Apps nur über genehmigte App-Stores herunter. Es bedeutet auch, Vorsichtsmaßnahmen zu treffen. Die ständig vernetzte Natur der Geräte bedeutet, dass vollständige Sicherheit eine Illusion ist. Je weniger auf einem Gerät gespeichert ist, desto besser.
Benutzer können ihre Geräte schützen, indem sie sich an den offiziellen Google Play Store halten. Anwendungen, die außerhalb des Play Store heruntergeladen werden, bieten keine Garantien für ihre Sicherheit oder ihren Schutz. Einige sind harmlose Apps, die den Google-Screening-Prozess nicht bestanden haben. Andere sind nahezu Duplikate offizieller Anwendungen, die versteckte Dateien oder Befehle enthalten. Und manche sind schlichtweg Vehikel, um Malware zu installieren und Verbindungen zu Command-and-Control-Servern (C2-Servern) herzustellen.
Darüber hinaus können Unternehmen vom Einsatz von Sicherheitsautomatisierungs- und KI-Sicherheitstools profitieren. Diese Lösungen sind in der Lage, Verhaltensmuster zu erfassen und zu korrelieren, die zwar harmlos erscheinen mögen, aber kollektive Indikatoren für eine Gefährdung (IoCs) darstellen. Wie aus Daten von IBM hervorgeht, konnten Unternehmen, die KI und Automatisierung umfassend einsetzten, Sicherheitslücken 98 Tage schneller erkennen und eindämmen als der globale Durchschnitt.
Die SpyAgent-Malware treibt sich derzeit in Südkorea herum, stiehlt Screenshots, um Passwörter für die Kryptowiederherstellung zu erbeuten, und setzt Unternehmen dem Risiko eines großflächigen Datenverlusts aus.
Die beste Verteidigung? Eine Dreierkombination aus sparsamem Speichern von Screenshots, Misstrauen gegenüber Apps unbekannter Hersteller und dem Einsatz überlegener Intelligenzlösungen.