Sicherheitsforscher von Bitdefender warnen vor einer neuen Variante der erstmals im August 2018 beschriebenen Android -Spyware Triout. Demnach hat sich die mobile Schadsoftware nun ein beliebtes Privatsphäre-Tool ausgesucht, um Nutzer zur Installation der Spionagesoftware zu verleiten .
Triout wurde entwickelt, um große Mengen persönlicher Daten zu sammeln. Unter anderem kann die Spyware Telefonate aufzeichnen, Textnachrichten überwachen, Fotos aufnehmen und stehlen und sogar GPS-Daten auslesen, um den Standort des Nutzers zu ermitteln.
Anfänglich setzten die Hintermänner noch auf eine gefälschte Version einer Porno-App, um Nutzer zur Installation der Schadsoftware zu bewegen. Nun muss eine speziell präparierte Version des Datenschutz-Tools Psiphon herhalten, das auch im Google Play Store erhältlich ist.
Dort zählt die App mehr als 50 Millionen Downloads . Allerdings ist sie auch außerhalb von Googles offiziellem Marktplatz erhältlich – vor allem in Ländern, in denen Google den Play Store nicht anbietet. Denn die App soll auch Nutzern helfen, Internetzensur zu umgehen, weswegen sie auch in Ländern mit repressiven Regierungen beliebt ist.
Diesen Umstand machten sich nun die Hintermänner von Triout zu Nutze, um die Verbreitung der Spyware zu erhöhen. Laut von Bitdefender veröffentlichten Screenshots sind die Unterschiede zwischen der echten und der gefälschten Psiphon-App kaum zu erkennen. Darüber hinaus soll sich die gefälschte wie das Original verhalten, um bei Nutzern keinen Verdacht zu erwecken.
Darüber hinaus scheint die gefälschte App sehr zielgerichtet eingesetzt zu werden. Bisher entdeckte Bitdefender sie nur auf sieben Geräten weltweit – fünf davon gehören Nutzern in Südkorea und Deutschland. Unklar ist allerdings noch, wie die Cyberkriminellen ihre Opfer dazu bringen, die gefälschte App zu installieren. Die Forscher vermuten, dass Spear-Phishing dabei eine Rolle spielt.
„Ob sie Social-Engineering-Techniken einsetzten, um die Opfer dazu zu bringen, die App von Marktplätzen Dritter zu installieren, oder ob sie eine Online-Kampagne vorbereiteten, die direkt auf eine begrenzte Anzahl von Nutzern ausgerichtet war, es ist an dieser Stelle ungewiss, wie die Opfer ausgewählt und infiziert wurden“, sagte Liviu Arsene, Senior E-Threat-Analyst bei Bitdefender.
Außer dem „Köder“ änderten die Hintermänner von Triout der Analyse zufolge auch weitere Details. So soll der Befehlsserver, an den die gesammelten Daten übertragen werden, eine IP-Adresse in Frankreich nutzen. Außerdem soll die Verteilung der Fake-App über die USA und nicht mehr wie bei früheren Varianten über Russland erfolgen. Von daher sei es auch weiterhin nicht möglich, die Hintermänner zu ermitteln, ergänzte Arsene.
Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld
