Lookout Security warnt vor einer Android-Malware, die sich als Werkzeug zum Schutz der Privatsphäre oder genauer als Online Reputation Management Tool ausgibt. SocialPath gibt vor, den Nutzer zu benachrichtigen, wann immer im Internet ein Foto von ihm hochgeladen wird. Stattdessen stiehlt es seine Daten.
Eine Variante des Programms fand sich unter dem Namen „Save Me“ in Google Play, wurde dort aber auf Lookouts Hinweis hin entfernt. Eine Infektion ist somit also nur noch möglich, wenn der Anwender einer Installation aus anderen Quellen in den Android-Einstellungen zugestimmt hat.
Die Google-Play-Variante hatte Lookout zufolge einen etwas anderen Zuschnitt und gab sich als Backup-Dienst aus, der etwa Fotos und Videos sichert. Ihr Versprechen: „Wenn Sie Ihr Smartphone verlieren, sind wenigstens die Inhalte noch da.“
Das Programm trifft bisher vor allem Anwender aus dem Sudan, wo es sich über eine Spamkampagne in Sozialen Netzen wie Twitter und Messaging-Apps wie WhatsApp verbreitet. Der Nutzer bekam einen vermeintlichen Hinweis auf ein privates Foto von ihm, kombiniert mit einem Bit.ly-Kurzlink. Diese Links hat Lookout untersucht und in einem Fall 5961 Klicks registriert, davon die meisten aus dem Libanon, gefolgt von Sudan und Oman. In diesen Ländern, aber auch Äquatorialguinea, Burkina Faso, Liberia und Malaysia ist es die derzeit häufigste Malware. Eine Code-Analyse deutet auf Entwickler aus dem arabischen Sprachraum hin.
Bei der Installation müssen Nutzer zahlreiche Daten angeben, darunter Klarnamen, E-Mail-Adresse, Telefonnummer, Wohnort und ein Porträt, das angeblich für die Identifikation benötigt wird. Der BootStartUpReceiver initiiert dann den Backend-Dienst und verbindet sich mit dem Kommandoserver. Ihm schickt er außer den abgefragten Daten auch sämtliche Kontakte, SMS-Nachrichten, Anrufprotokolle und Geräteinformationen.
Während der Registrierung zeigt die Malware noch ein Symbol im Launcher an, löscht es jedoch anschließend wieder, um auf dem Gerät verborgen zu bleiben. Auf Instruktion durch den Kommandoserver hin kann sie beliebige Nummern anrufen und nach einer vorgegebenen Zeit wieder auflegen. Lookout sieht dies in Verbindung mit Premium-Diensten als potenzielle Einnahmequelle. Der Anrufverlauf wird anschließend gelöscht.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
