WhatsApp: Forscher entdecken geheimes Spionageprogramm

Sicherheitsforscher von Kaspersky haben ein Spionageprogramm für Android entdeckt, das offenbar schon seit Ende 2014 eingesetzt wird und unter anderem in der Lage ist, WhatsApp-Nachrichten auszulesen. Verteilt wurde und wird die Software über gefälschte Webseiten, die den Seiten von Mobilfunkprovidern nachempfunden sind.

Die von ihren Entdeckern Skygofree getaufte Spyware ist ersten Erkenntnissen nach das Produkt eines italienischen Unternehmens, das sich auf die Entwicklung professioneller Überwachungsprogramm spezialisiert hat. Die Käufer dieser Programme sind in der Regel staatliche Behörden.

Kaspersky zufolge ist die Android-Version von Skygofree „eines der mächtigsten Spionageprogramme, das wir auf dieser Plattform jemals gesehen haben“. Indem sich das Programm in die erweiterten Bedienungshilfen (die Accessibility Services) einklinkt, kann es praktisch sämtliche auf dem Gerät dargestellten Inhalte auslesen. Diese Fähigkeit macht sich die Software unter anderem zunutze, um WhatsApp-Nachrichten abzufangen, die ansonsten von einer starken Verschlüsselung geschützt sind.
Ferner ist die Spyware aber auch in der Lage, über das eingebaute Mikrofon die Umgebung des Smartphones abzuhören. Das kann zum Beispiel automatisiert immer dann passieren, wenn sich Gerät und Besitzer an einem bestimmten Ort befinden. Ebenso unbemerkt kann das Programm Fotos und Videos aufnehmen. Daten auf dem Gerät sind im vollen Zugriff der Angreifer: Kurznachrichten lassen sich also ebenso auslesen wie Standortdaten.

Um überhaupt auf die Geräte zu kommen, ist Skygofree beim Download gleich mit einer ganzen Batterie an Exploits ausgestattet, die es erlauben, unterschiedliche bekannte Sicherheitslücken von Android auszunutzen, um auf dem Gerät Admin-Rechte zu erlangen.

Nach bisherigen Erkenntnissen ist Skygofree als Staatstrojaner in erster Linie für gezielte Angriffe auf einzelne Personen zum Einsatz gekommen, eine massenhafte Verbreitung ist unwahrscheinlich. Geräte, auf denen Kaspersky eine Skygofree-Infektion feststellen konnte, fanden sich ausschließlich in Italien. Da die Spyware nun bekannt ist – nebst Hinweisen, mit denen sich die Infektion entdecken lässt – werden die meisten Antivirenprogramme für Android in Kürze in der Lage sein, die Schadsoftware zu erkennen.

Quelle: Chip

Neue Schadsoftware Loapi

Im Internet kursiert die neue Schadsoftware Loapi, die erhebliches Gefahrenpotenzial birgt. Sie kann hohe Kosten verursachen – und sogar der Hardware schaden. Nutzer können sich unterdessen recht einfach schützen.

Sicherheitsforscher von Kaspersky haben eine neue Schadsoftware mit dem Namen Loapi entdeckt. Ziel der Malware sind Android-Geräte – und auf denen kann Loapi massive Schäden anrichten. Das geht soweit, dass in extremen Fällen selbst Hardware zerstört werden kann, so die Sicherheitsforscher.

Loapi ist modular aufgebaut, kann von den Angreifern also unterschiedlich konfiguriert werden und damit auf betroffenen Geräten unterschiedliche Schäden anrichten. Die Liste der Möglichkeiten ist groß: Die Malware kann Werbung einblenden, den Nutzer bei Bezahldiensten anmelden, teure SMS versenden, DDoS-Angriffe starten und die Kryptowährung Monero berechnen.

In einem Fall soll Loapi auf einem Gerät derart intensiv gewütet haben, dass sogar materielle Schäden am Akku drohten – das Gerät war wegen der hohen Auslastung zu heiß geworden.

Loapi wird Kasperky zufolge in Werbeanzeigen als „Antivirus-Lösung oder Erwachsenen-App“ angeboten. Die Malware wird nicht über den Play Store verteilt, muss vom Nutzer also händisch heruntergeladen und installiert werden. Auf Android-Geräten ist das erst möglich, nachdem ein Sicherheitsschalter umgelegt wurde.
Hat man sich Loapi eingetreten, wird es unangenehm: Die Malware erkennt andere Sicherheitsprogramme auf dem Gerät und schlägt – entsprechend der Tarnung als Antiviren-App – die Entfernung einer vermeintlichen Bedrohung vor. Wer den Anweisungen blind vertraut, löscht damit etwaige Schutzmechanismen.

Auch vor Laopi können Sie sich schützen

Wie in vielen Fällen gilt auch für Loapi: Wer keine Software am Google Play Store vorbei installiert, umschifft das größte Risiko – nicht ohne Grund ist diese Möglichkeit grundsätzlich deaktiviert. APK-Dateien sollten Sie nur dann installieren, wenn es keine Alternative gibt, Sie der Quelle vertrauen und genau wissen, was Sie tun. Die Finger sollten Sie unterdessen von allem lassen, was Ihnen Werbebanner anbieten – insbesondere dann, wenn es Sicherheit oder nackte Haut verspricht.
Besonders ist Laopi vor allem wegen seiner vielfältigen Möglichkeiten, auf dem Gerät Schaden anzurichten – über Module können Angreifer der Malware praktisch jede Funktion auch nachträglich beibringen. Dass Loapi auf Geräten physischen Schaden anrichtet, ist dabei die absolute Ausnahme – Grund zur Panik besteht also nicht.
Quelle: Chip online

Huawei und Telekom warnen vor Angriffen auf Wartungsports

Ein IoT-Botnetz greift derzeit weltweit Modems von Huawei über einen Wartungsport an, die Deutsche Telekom spricht von bis zu 100.000 infizierten Geräten. Huawei gibt Sicherheitstipps und will einen Patch bereitstellen.

Huawei hat eine Sicherheitslücke in seinem Modem Huawei HG532 bestätigt. Ähnlich wie vor rund einem Jahr bei Angriffen auf das Netz der Telekom könnten Angreifer versuchen, den Wartungsport des Geräts für den Aufbau eines Botnetzes auszunutzen. Damals scheiterten die Angriffe unter anderem daran, dass die Malware nicht mit der Firmware der Modems kompatibel war.

Huawei wurde nach eigenen Angaben am 27. November von der Sicherheitsfirma Check Point auf das Problem hingewiesen und hat eine interne Untersuchung eingeleitet. Check Point hatte dazu ein Advisory mit der Nummer CPAI-2017-1016 veröffentlicht. Die Experten stufen die Lücke als „kritisch“ ein, das Unternehmen hatte bereits im Oktober ein Mirai-artiges Botnetz entdeckt, das für ähnliche Angriffe verantwortlich sein soll. Nach Angaben von Check Point schützen die Appliances R80, R77, R76 und R75 vor einem erfolgreichen Exploit.

Angriff über Port 37215

Ein Angreifer kann Pakete an den Port 37215 senden, um Angriffe zu starten. Ein erfolgreicher Exploit könne genutzt werden, um auf dem Modem beliebigen Code auszuführen. Damit könnte ein Gerät in ein Botnetz integriert werden und weitere Angriffe starten. Die Deutsche Telekom habe nach eigenen Angaben bereits ab dem 25.11. entsprechende Angriffe auf ihre Honeypots gesehen, wie eine Sprecherin Golem.de sagte. Das Volumen habe bis zu 200.000 Datenpakete pro Stunde betragen, nach Schätzungen der Telekom sollen etwa 80.000 bis 100.000 Geräte infiziert sein. Aus Deutschland seien allerdings keine erfolgreichen Angriffe bekannt.

Konsumenten können sich mit einigen einfachen Tipps schützen. So sollten sie zunächst, falls noch nicht geschehen, die eingebaute Firewall des Gerätes aktivieren und das Default-Passwort ändern. Außerdem rät Huawei, „auf ISP-Seite“ eine Firewall zu aktivieren. Anbieter, die entsprechende Geräte im Angebot haben, sollen die Intrusion-Prevention-Signaturen in Version IPS_H20011000_2017120100 einspielen, um Kunden vor Angriffen zu schützen.

Quelle: Golem

Backdoor in D-Link Router

In der Firmware von D-Link Routern wurde ein Bug entdeckt, über den sich potenzielle Angreifer in das Administratoren-Interface einloggen und Aktionen durchführen können.

Der für den Zugriff auf das Gerät benutzte Internetbrowser muss den User-Agent-String „xmlset_roodkableoj28840ybtide“ ausgeben.

Betroffene Modelle sind: DIR-100, DIR120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604+ und TM-G5240.

Bei D-Link gibts einen Patch.

Hacker nutzen Router als Portal ins Heimnetz

Der Sicherheitsexperte Bogdan Calin hat eine Firmwarelücke der Router von Arcor, Asus und TP-Link entdeckt, die er mit einer manipulierten Mail ausnutzen kann. Öffnet das Opfer die Mail, wird der eigene Router so umkonfiguriert, dass der ganze Netzwerkverkehr auf einen Hackerserver umgeleitet wird. Das Opfer merkt davon nichts.

Für den Angriff wird ein Cross-Site Request Forgery (CRSF) genutzt. Versucht das Mailprogramm ein eingebettetes Bild zu laden, wird eine Befehlszeile ausgeführt, die die DNS-Einstellungen des Routers ändert.

Zur Gegenmaßnahme gibt es nur die Möglichkeit das vorgegebene Standardpasswort des Routers zu ändern.

Genauso kritisch ist die Schwachstelle bei den aktuellen WLan Routern 4421 und 6431 von O2 und Alice zu sehen. Über den Web-Serviceport 7170 ließ sich von außen die gesamte Konfigurationsoberfläche des Routers aufrufen. Dort kann man zum Beispiel Zugangsdaten auslesen oder etwa den kompletten Internetverkehr umleiten. Abhilfe schafft hier eine gepatchte Firmware die automatisch auf die Router überspielt wird.

Bei Installation eines neuen Routers sollte man als erstes das vorgegebene Passwort ändern, denn Listen mit den voreingestellten Kennwörtern findet man ohne Probleme im Internet.