| Experten 14. März 2013


14. März 2013

NotCompatible zeigt neue Aktivitäten via E-Mail-Spam

By Lookout

Im Mai 2012 haben wir erstmals über NotCompatible berichtet, eine ferngesteuerte Proxy-Bedrohung, die sich über gehackte Websites verbreitet. Sobald die NotCompatible-Malware installiert ist, agiert sie als Proxy und ermöglicht es Dritten, Netzwerkdaten über das infizierte Gerät zu senden und zu empfangen. Die ursprüngliche Version stellte die erste Bedrohung dieser Art dar; sie nutzte gehackte Websites, um zielgerichtet Mobilgeräte anzugreifen und zu infizieren. Seit der ersten Idenifizierung haben wir NotCompatible überwacht und dabei festgestellt, dass die Aktivität dieser Malware relativ gering war – abgesehen von gelegentlichen, moderaten Aktivitätssteigerungen. In den letzten Tagen hat es jedoch Auffälligkeiten gegeben und wir haben netzwerkübergreifend im Mobile Threat Network einen plötzlichen Anstieg von NotCompatible-Erkennungen festgestellt. Der Höhepunkt lag mit 20.000 Erkennungen pro Tag zwischen vergangenem Sonntag und Montag. 
Was hat sich verändert?
Die technischen Möglichkeiten und der Aufbau der Malware haben sich seit letztem Mai nicht wesentlich verändert. Was sich jedoch interessanterweise geändert hat, ist die Verbreitungsmethode: Die Malware wird jetzt primär über Spam von gehackten E-Mail-Accounts verbreitet.

Security Alert: NotCompatible

Abbildung 1. Beispielhafte Spam-Nachricht, die NotCompatible verbreitet

Android im Visier

Die ursprüngliche Verbreitungskampagne von NotCompatible zielte speziell auf Android-Nutzer ab, indem der Download der Malware ausschließlich bei Browsern ausgelöst wurde, in deren User-Agent Header das Wort ‚Android’ vorkam. Die jetzt identifizierten Spam-Links verfolgen eine vergleichbare Taktik.
Wird in einem Browser, der unter Windows, iOS oder OSX läuft, auf einen dieser Spam-Links geklickt, wird der Nutzer auf einen Artikel über Gewichtsabnahme weitergeleitet, der angeblich von Fox News veröffentlicht wurde, siehe Abbildung.

Fake Fox News Weight Loss Article

Abbildung 2. Fake-Site zum Thema Gewichtsabnahme, auf die Nicht-Android-Nutzer weitergeleitet werden

Wird der Link von einem Android-Gerät aus angeklickt, wird der Browser für ein Update an eine „Sicherheits-Site für Android” weitergeleitet. Abhängig vom Browser und der Version des Android-Betriebssystems wird zum Download aufgefordert. Viele Stock-Browser lösen einen transparenten Download in den Downloadordner des Geräts aus, während Chrome ein Dialogfenster zur Download-Bestätigung anzeigt.

Abbildung 3. Fake-Site für Android-Sicherheit, die NotCompatible-Exemplaren dient

Lookout-Nutzer sind seit Mai 2012 vor NotCompatible geschützt. Das bedeutet: Auch wenn ein Download dieser Art erfolgreich ausgeführt wird, erkennt die Dateisystemüberwachung von Lookout die Bedrohung, sobald der Download abgeschlossen ist.

Abbildung 4. Lookouts Dateisystemüberwachung schützt aktiv vor heruntergeladener Malware

Wir haben festgestellt, dass dies auf die überwiegende Mehrheit unserer Erkennunungen während der aktuellen Aktivitätszunahme zutrifft. Nur in 2% der Erkennungen wurde die Malware tatsächlich installiert.

How to Stay Safe

  • Vermeiden Sie es, Spam-Mails zu öffnen. Unerwartete E-Mails von verschollenen ‚Freunden’ mit allgemeinen Betreffzeilen (häufig auch auf Englisch) wie ‚heiße Nachrichten’ oder ‚letzte Nacht’ oder ‚Sie haben gewonnen!’ sind normalerweise gute Indikatoren dafür, dass es sich um Spam handelt.
  • Klicken Sie nicht voreilig auf Links. Wenn Sie den Namen der Website nicht kennen, seien Sie vorsichtig, insbesondere dann, wenn Links in Kurzform angezeigt werden (z.B. bit.ly/ABCD). Dahinter können sich unseriöse Sites befinden, deren Namen verschleiert sind, was eine Bewertung erschwert.
  • Wenn Ihr Mobilgerät unerwartet beginnt, eine Datei herunterzuladen, klicken Sie die Datei nicht an, sondern löschen Sie sie!
  • Laden Sie eine Sicherheitsanwendung wie Lookout herunter, die Dateien auf Malware prüft.

Autor

Lookout