WhatsApp: Forscher entdecken geheimes Spionageprogramm

Sicherheitsforscher von Kaspersky haben ein Spionageprogramm für Android entdeckt, das offenbar schon seit Ende 2014 eingesetzt wird und unter anderem in der Lage ist, WhatsApp-Nachrichten auszulesen. Verteilt wurde und wird die Software über gefälschte Webseiten, die den Seiten von Mobilfunkprovidern nachempfunden sind.

Die von ihren Entdeckern Skygofree getaufte Spyware ist ersten Erkenntnissen nach das Produkt eines italienischen Unternehmens, das sich auf die Entwicklung professioneller Überwachungsprogramm spezialisiert hat. Die Käufer dieser Programme sind in der Regel staatliche Behörden.

Kaspersky zufolge ist die Android-Version von Skygofree „eines der mächtigsten Spionageprogramme, das wir auf dieser Plattform jemals gesehen haben“. Indem sich das Programm in die erweiterten Bedienungshilfen (die Accessibility Services) einklinkt, kann es praktisch sämtliche auf dem Gerät dargestellten Inhalte auslesen. Diese Fähigkeit macht sich die Software unter anderem zunutze, um WhatsApp-Nachrichten abzufangen, die ansonsten von einer starken Verschlüsselung geschützt sind.
Ferner ist die Spyware aber auch in der Lage, über das eingebaute Mikrofon die Umgebung des Smartphones abzuhören. Das kann zum Beispiel automatisiert immer dann passieren, wenn sich Gerät und Besitzer an einem bestimmten Ort befinden. Ebenso unbemerkt kann das Programm Fotos und Videos aufnehmen. Daten auf dem Gerät sind im vollen Zugriff der Angreifer: Kurznachrichten lassen sich also ebenso auslesen wie Standortdaten.

Um überhaupt auf die Geräte zu kommen, ist Skygofree beim Download gleich mit einer ganzen Batterie an Exploits ausgestattet, die es erlauben, unterschiedliche bekannte Sicherheitslücken von Android auszunutzen, um auf dem Gerät Admin-Rechte zu erlangen.

Nach bisherigen Erkenntnissen ist Skygofree als Staatstrojaner in erster Linie für gezielte Angriffe auf einzelne Personen zum Einsatz gekommen, eine massenhafte Verbreitung ist unwahrscheinlich. Geräte, auf denen Kaspersky eine Skygofree-Infektion feststellen konnte, fanden sich ausschließlich in Italien. Da die Spyware nun bekannt ist – nebst Hinweisen, mit denen sich die Infektion entdecken lässt – werden die meisten Antivirenprogramme für Android in Kürze in der Lage sein, die Schadsoftware zu erkennen.

Quelle: Chip

Huawei und Telekom warnen vor Angriffen auf Wartungsports

Ein IoT-Botnetz greift derzeit weltweit Modems von Huawei über einen Wartungsport an, die Deutsche Telekom spricht von bis zu 100.000 infizierten Geräten. Huawei gibt Sicherheitstipps und will einen Patch bereitstellen.

Huawei hat eine Sicherheitslücke in seinem Modem Huawei HG532 bestätigt. Ähnlich wie vor rund einem Jahr bei Angriffen auf das Netz der Telekom könnten Angreifer versuchen, den Wartungsport des Geräts für den Aufbau eines Botnetzes auszunutzen. Damals scheiterten die Angriffe unter anderem daran, dass die Malware nicht mit der Firmware der Modems kompatibel war.

Huawei wurde nach eigenen Angaben am 27. November von der Sicherheitsfirma Check Point auf das Problem hingewiesen und hat eine interne Untersuchung eingeleitet. Check Point hatte dazu ein Advisory mit der Nummer CPAI-2017-1016 veröffentlicht. Die Experten stufen die Lücke als „kritisch“ ein, das Unternehmen hatte bereits im Oktober ein Mirai-artiges Botnetz entdeckt, das für ähnliche Angriffe verantwortlich sein soll. Nach Angaben von Check Point schützen die Appliances R80, R77, R76 und R75 vor einem erfolgreichen Exploit.

Angriff über Port 37215

Ein Angreifer kann Pakete an den Port 37215 senden, um Angriffe zu starten. Ein erfolgreicher Exploit könne genutzt werden, um auf dem Modem beliebigen Code auszuführen. Damit könnte ein Gerät in ein Botnetz integriert werden und weitere Angriffe starten. Die Deutsche Telekom habe nach eigenen Angaben bereits ab dem 25.11. entsprechende Angriffe auf ihre Honeypots gesehen, wie eine Sprecherin Golem.de sagte. Das Volumen habe bis zu 200.000 Datenpakete pro Stunde betragen, nach Schätzungen der Telekom sollen etwa 80.000 bis 100.000 Geräte infiziert sein. Aus Deutschland seien allerdings keine erfolgreichen Angriffe bekannt.

Konsumenten können sich mit einigen einfachen Tipps schützen. So sollten sie zunächst, falls noch nicht geschehen, die eingebaute Firewall des Gerätes aktivieren und das Default-Passwort ändern. Außerdem rät Huawei, „auf ISP-Seite“ eine Firewall zu aktivieren. Anbieter, die entsprechende Geräte im Angebot haben, sollen die Intrusion-Prevention-Signaturen in Version IPS_H20011000_2017120100 einspielen, um Kunden vor Angriffen zu schützen.

Quelle: Golem

Macs von Trojaner befallen

In einem der größten Malware-Angriffe auf die Apple-Plattform infizierte der Trojaner „Flashback“ über 670000 Rechner weltweit.

Der Trojaner nutzte eine seit Monaten bekannte Sicherheitslücke in Java. Apple hatte das entsprechende Sicherheitsupdate noch nicht ausgeliefert.

Für eine Infektion mit „Flashback“ genügt ein Besuch auf einer präparierten Webseite. Die in Java geschriebene Malware tarnt sich als Systemupdate oder Flashplayer aus und läd später die Hauptkomponenten des Trojaners nach.

Wenn der User seinen Rechner mit einem Admin-Konto nutzt, kann „Flashback“ beliebigen Programmcode ausführen. Befallene Rechner werden über Command-and-Control-Server zu einem Botnetz zusammengeschaltet,dessen Einsatzzweck ist allerdings noch unbekannt.

Apple hat inzwischen ein Update und ein Tool zum Entfernen von Flashback bereitgestellt. Das Update gibt es aber leider nur für Mac Os X10.7 und 10.6. Da der Trojaner über eine Nachladefunktion verfügt, empfiehlt es sich aber das System neu zu installieren.

Benutzer älterer Mac Os X Versionen, können auf Removal Tools von Kaspersky, F-Secure und anderen Anbietern ausweichen. Sie sollten zudem Java komplett deaktivieren.

Zukünftig empfiehlt sich auch für Mac – User die Nutzung einer Antivierensoftware, denn die nächsten Trojaner stehen mit Sicherheit schon in den Startlöchern.

*Quelle Chip

 

 

Base 64 PHP Script Hack PHP – Trojaner befällt Webseiten durch Malware

Derzeit schleicht sich bei diversen Webseiten mit den unterschiedlichsten Scripten ein Trojaner durch Malware in Dateien auf Server/FTP ein, welche diese im Inhalt unbemerkt verändert.

Die ersten Auswirkungen dieses Trojaner zeichnen zunächst durch lahmenden Aufbau der Webseite ab. Gründe für das Lahmen können jedoch nicht durch Checks oder Scans gefunden werden, erst durch Absuchen nach folgenden Codeschnipsel:
if (!isset($sRetry))

Den kompletten Code, welcher sich in in die index.php, index.html, footer.php und evtl. header.php einschreibt kann im Blog “IT Blögg“ und/oder unter Pastebin.com nachgelesen werden.

Auch Paid4Magazin.de war Anfang April davon betroffen, ebenso der Blog Paid4-World.de, was zunächst die Vermutung aufkommen lies, dass lediglich Blogs basierend auf WordPress davon betroffen wurden.

Mittlerweile wurden jedoch unter anderem dieser Trojaner ebenso bei Autoregger und Paidmailern gefunden, so dass nicht ausgeschlossen ist, dass die eigene Webseite davon verschont geblieben wurde, ebenso wie phpmyadmin, mysql dumper. Nahezu jedes PHP- und HTML-Script könnte betroffen sein.

Nach weiteren Informationen und durch das Austauschen untereinander ergaben sich nachfolgenen Erkenntnisse:

Dieser Virus/Trojaner läuft auf Deinem lokalen Rechner oder auf dem Deiner Kollegen. Der eigentliche Code auf dem lokalen System schnappt sich FTP-Zugangsdaten, die er finden kann und loggt sich damit auf die FTP-Server ein. Dort werden die PHP-Files modifiziert – letzten Endes sorgt der zusätzliche Code dafür, dass ein Besucher der Seite sich dann ebenfalls das Schadprogramm von einem anderen Server (der ist in “aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==” kodiert) [http://globalbotupdate.com/stat/stat.php] einhandelt. Mit anderen Worten: Wer auf seinem Server modifizierte PHP-Files entdeckt, sollte definitiv erst einmal auf der eigenen Maschine suchen… Der “Hack” ist bereits seit einigen Wochen bekannt…
(Quelle: Mirko Weiße – Facebook)

TOOLS, SCRIPTS & ADDONS zum erkennen, blocken und entfernen für die Infektion (base64 eval hack) unter nackfolgende Kontaktemöglichkeiten:

PC Service – Benjamin Bode oder Paid4Buy.de

LG Benjamin Bode

Des Weiteren ist nicht ausgeschlossen, dass durch das FTP-Tool “Filezilla“ die Zugangsdaten zum FTP ausgelesen werden mittels Logfiles des eigenen PCs bzw. Laptops, da dieses Tool vielfach genutzt wird.

Um diesen den eigenen Befall der Webseite festzustellen, sollte die Dateien vom FTP/Server runtergeladen werden, um im Anschluss daran diese nach oben genannten Codeschnipsel zu durch suchen. Hierzu eignet sich Dreamweaver, Windows-Editor oder Notepad++, da die Windowssuchfunktion diesen Schnipsel nicht erkennt.

Achtung:
Laut Trojaner-Board liest der Virus ggf. Daten aus der Datenbank aus also könnten Email-Adressen, Passwörter, Bankdaten etc. betroffen sein UND/ODER sogar die direkten Eingaben über Anmelde-, Registrierungs-, Login-Formulare etc. !!!

Um ein kompletten Server zu scannen, kann man folgenden Befehl verwenden:

grep -e ‘sRetry’ -R /var/www/

oder

grep -e ‘This code use for global bot statistic’ -R /var/www/

Zum Abschluss sei noch erwähnt – viel Glück beim Aufspüren und Entfernen.
Wir hoffen hiermit einigen geholfen zu haben.

*Quelle Paid4Magazin.de

Gruß

Onkel Schorsch