| Experten 16. Februar 2017


16. Februar 2017

ViperRAT: Eine hoch entwickelte, andauernde Bedrohung, die auf Mobilgeräte der israelischen Streitkräfte zielt und die Sie im Blick behalten sollten

By Michael Flossman

ViperRAT ist ein aktiver Advanced Persistent Threat (APT), den böswillige Akteure aktiv nutzen, um Mobilgeräte der israelischen Streitkräfte zu infizieren und auszuspionieren.
Die Akteure hinter der Surveillanceware ViperRAT schleusen eine erhebliche Menge sensibler Informationen aus einem Gerät aus und sind offenbar vor allem daran interessiert, Bilder und Audioinhalte auszufiltern. Auch nehmen die Angreifer heimlich mit der Gerätekamera Fotos auf.
Die vom globalen Lookout-Sensornetzwerk erfassten Daten gewährten dem Forschungsteam von Lookout detaillierte Einblicke in die ViperRAT-Malware und damit in 11 neue, bislang noch nicht gemeldete Anwendungen. Darüber hinaus entdeckten und analysierten wir falsch konfigurierte, bösartige Command-and-Control-Server (C2) und konnten so feststellen, auf welchem Weg die Angreifer neue, infizierte Apps erhalten und installieren und welche Aktivitäten sie überwachen. Wir haben außerdem die IMEI-Gerätenummern der Zielpersonen identifiziert und die Art der ausgefilterten Inhalte bestimmt. Die IMEI-Nummern der Angriffsopfer werden zum Schutz der Privatsphäre und aus Sicherheitsgründen nicht veröffentlicht.
Zusammenfassend lässt sich sagen, dass ein Angreifer anhand der gestohlenen Informationen feststellen kann, wo sich die Zielperson aufhält, zu wem sie Kontakt hat (einschließlich der Profilfotos der Kontaktpersonen), welche Nachrichten sie verschickt und welche Webseiten sie besucht, einschließlich des Suchverlaufs. Angreifer können außerdem Screenshots von Daten aus anderen Apps auf dem Gerät erstellen, Gespräche in der Nähe des Geräts abhören und über die Gerätekamera unzählige Fotos festhalten.
Lookout stuft ViperRAT als besonders hoch entwickelte Bedrohung ein. Dies ist ein weiterer Beweis dafür, dass gezielte Angriffe auf Mobilgeräte von Regierungsbehörden und Unternehmen ein ernsthaftes Problem darstellen.
Die Experten von Lookout sind dieser Bedrohung im vergangenen Monat nachgegangen. Da es sich um eine aktive Bedrohung handelt, haben wir gemeinsam mit unseren Kunden im Hintergrund dafür gesorgt, dass sowohl Privat- als auch Unternehmenskunden vor dieser Bedrohung geschützt sind. Wir haben uns erst entschieden, diese Informationen zu veröffentlichen, nachdem das Expertenteam von Kaspersky vor einigen Stunden einen entsprechenden Bericht veröffentlicht hat.
Auch wenn die Surveillanceware ursprünglichen Berichten zufolge der Organisation Hamas zuzuschreiben ist, haben wir Hinweise gefunden, die dieser Auffassung widersprechen könnten (siehe unten).
Surveillanceware wird zunehmend ausgefeilter
Die Struktur der Surveillanceware lässt auf eine besonders hohe Entwicklungsstufe schließen. Analysen deuten darauf hin, dass gegenwärtig zwei unterschiedliche Varianten von ViperRAT im Umlauf sind. Die erste Variante ist eine Anwendung der ersten Stufe. Sie erstellt ein grundlegendes Geräteprofil und versucht unter bestimmten Bedingungen, eine weitaus umfassendere Surveillanceware-Komponente – die zweite Variante – herunterzuladen und zu installieren.
Bei der ersten Variante soll die Zielperson mit Social-Engineering-Taktiken dazu gebracht werden, eine mit einem Trojaner infizierte App herunterzuladen. Früheren Berichten zufolge infizierte dieses Surveillanceware-Tool Geräte mithilfe von „Sexfallen“, wobei die Drahtzieher die Zielpersonen über vorgetäuschte Social-Media-Profile junger Frauen kontaktierten. Nachdem sie ein gewisses Vertrauensverhältnis zu ihnen aufgebaut haben, weisen die Akteure hinter diesen Social-Media-Accounts die Opfer an, eine zusätzliche App zu installieren, die die Kommunikation erleichtern soll. Lookout fand heraus, dass es sich dabei vor allem um mit Trojanern infizierte Versionen der Apps „SR Chat“ und „YeeCall Pro“ handelt. Zusätzlich entdeckten wir ViperRAT in einer Billiard-App, einem Player für israelische Liebeslieder und in einer „Move To iOS“-App.
Die zweite Stufe
Apps der zweiten Stufe enthalten die eigentlichen Surveillanceware-Funktionen. Lookout fand neun Sekundäranwendungen mit schädlichen Auswirkungen (Payload):
* Diese Apps wurden bisher noch nicht gemeldet. Ihre Entdeckung erfolgte mithilfe der Daten des globalen Lookout-Sensorennetzwerks, das App- und Geräteinformationen von über 100 Millionen Sensoren erfasst, um Experten und Kunden einen ganzheitlichen Überblick über die heutige Bedrohungslandschaft für Mobilgeräte zu vermitteln.
Zusätzliche Payload-Anwendungen als System-Updates zu tarnen, ist eine clevere Methode, mit denen Malware-Entwickler die Opfer glauben lassen, es befinde sich keine Bedrohung auf ihrem Gerät. ViperRAT geht aber noch einen Schritt weiter: Es verwendet die App der ersten Stufe, um ein entsprechendes „Update“ der zweiten Stufe zu finden, damit die Installation unbemerkt bleibt. Nutzt ein Opfer beispielsweise Viber auf seinem Gerät, gibt ViperRAT vor, ein „Viber-Update“ der zweiten Stufe zu installieren. Verwendet das Opfer kein Viber, wird stattdessen die scheinbar generische App für System-Updates heruntergeladen und installiert.
Gestohlene Daten
Die Drahtzieher hinter ViperRAT scheinen sich in erster Linie für Bilddaten zu interessieren. Wir konnten 8.929 Dateien identifizieren, die aus infizierten Geräten ausgefiltert wurden. Bei der überwiegenden Mehrheit (97 %) handelte es sich aller Wahrscheinlichkeit nach um verschlüsselte Fotos, die mit der Gerätekamera aufgenommen wurden. Wir entdeckten außerdem automatisch auf C2-Servern generierte Dateien, was darauf hindeutet, dass die Akteure hinter dieser Kampagne auch Befehle für die Suche nach PDF- und Office-Dokumenten und für das Ausfiltern dieser Dokumente erteilen. Dies sollte Regierungsbehörden und Unternehmen in höchste Alarmbereitschaft versetzen.
Wir fanden legitime, ausgefilterte Dateien, die folgende Daten enthielten:
  • Kontaktdaten
  • Komprimierte Audioaufzeichnungen im Adaptive Multi-Rate-Dateiformat (.amr)
  • Mit der Gerätekamera aufgenommene Fotos
  • Fotos, die sowohl im Gerät als auch auf SD-Karten gespeichert und im MediaStore aufgelistet waren.
  • Geopositionsdaten des Geräts
  • SMS-Inhalte
  • Chrome-Browser-Suchverläufe und -Lesezeichen
  • Anrufprotokolldaten
  • Mobilfunkmastinformationen
  • Metadaten des Gerätenetzwerks, z. B. Telefonnummer, Gerätesoftwareversion, Netzwerkland, Netzwerkbetreiber, länderspezifische SIM-Karte, Mobilfunkbetreiber und Seriennummer der SIM-Karte, internationale Mobilfunk-Teilnehmerkennung (IMSI), Voicemail-Nummer, Telefontyp, Netzwerktyp, Datenstatus, Datenaktivität, Anrufstatus, SIM-Kartenstatus, ob das Gerät Roaming nutzt oder ob es SMS unterstützt.
  • Suchverlauf des Standard-Browsers
  • Lesezeichen des Standard-Browsers
  • Metadaten des Mobilgeräts, z. B. Marke, Display, Hardware, Hersteller, Artikelnummer, Seriennummer, Funkvariante und SDK.
Command-and-Control-API-Aufrufe
ViperRAT-Stichproben sind in der Lage, sowohl über eine ungeschützte Programmierschnittstelle (API) als auch über WebSockets mit C2-Servern zu kommunizieren. Nachstehend finden Sie eine Liste der API-Methoden und eine kurze Beschreibung des Verwendungszwecks.
Wer steckt hinter ViperRAT?
Medienberichte schreiben die Surveillanceware ViperRAT bislang der Hamas-Organisation zu. Israelische Medien veröffentlichten die ersten Berichte über die Social-Networking- und Social-Engineering-Aspekte dieser Kampagne. Unklar ist jedoch, ob Organisationen, die in der Folge über ViperRAT berichteten, eigene, unabhängige Nachforschungen anstellten oder ob die Inhalte lediglich auf dem ursprünglichen israelischen Bericht basieren. Hamas ist allgemein nicht für den Einsatz ausgefeilter mobiler Malware bekannt. Von daher ist es unwahrscheinlich, dass diese Organisation direkt für ViperRAT verantwortlich ist.  
ViperRAT ist seit geraumer Zeit mit einer Testanwendung im Umlauf, die Ende 2015 auftauchte. Viele Standard-Strings in dieser Anwendung und auch der Name der Anwendung liegen auf Arabisch vor. Ungeklärt ist, ob die ersten Malware-Einsätze auf Arabisch sprechende Personen abzielten oder ob die Entwickler diese Sprache fließend beherrschen.
Aus diesem Grunde glauben wir, dass sich ein anderer Akteur dahinter verbirgt.
Was bedeutet das für Sie?
Alle Kunden von Lookout sind vor dieser Bedrohung geschützt. Bedrohungen wie ViperRAT und Pegasus, die bisher am höchsten entwickelte Surveillanceware, beweisen, dass Angreifer gezielt Mobilgeräte attackieren.
Mobilgeräte sind die Hauptangriffspunkte für Cyberspionage und andere kriminelle Machenschaften. Mitarbeiter von Unternehmen und Regierungsbehörden verwenden diese Geräte im Rahmen ihrer täglichen Arbeit. Das bedeutet, die IT- und Sicherheitsführungskräfte dieser Organisationen müssen Mobilgeräte in ihren Sicherheitsstrategien priorisieren.
Möchten Sie mehr über Bedrohungen wie ViperRAT erfahren? Setzen Sie sich noch heute mit uns in Verbindung, um detaillierte Informationen über unseren Threat Advisory Service und Lookout Mobile Endpoint Security zu erhalten.  

Autor

Michael Flossman,
Security Research Services Tech Lead

Kommentar hinterlassen

Absenden


0 kommentare