FÜR NUTZER

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Suche
Suche

Support
Support 24/7 | Regeln zur Anfragenübermittlung

Schreiben Sie uns

Online-Formular

Telefon

+49 (0) 170 488 40 28

Forum

Ihre Anfragen

Neue Anfrage

Rufen Sie uns an

+7 (495) 789-45-86

Profil

DE

RU CN DE EN ES FR IT JP KZ UZ PL BY
Schließen
News

News nach thema

News über Viren & Co.
Die Wahrheit über Viren & Co.
Newsticker
Presse

Zurück zu News

Trojaner der Familie Android.Spy.Lydia tarnen sich als iranische Online-Handelsplattform

13. September 2023

Doctor Web hat neue Versionen von Trojanern der Familie Android.Spy.Lydia erkannt, die über Spyware-Features verfügen und es Cyberkriminellen ermöglichen, infizierte Android-Geräte remote zu überwachen und zu verwalten, um den Nutzern persönliche Informationen und Geld zu stehlen. Die Trojaner sind mit einem Schutzmechanismus ausgestattet, der prüft, ob das Programm in einem Emulator oder auf einem Testgerät ausgeführt wird. In solchen Fällen wird das bösartige Programm beendet.

Die Trojaner werden über Websites verbreitet, die sich als Finanzplattformen, z.B. Online-Börsen, tarnen, und zielen auf Nutzer aus dem Iran ab. Hier ist ein Beispiel für eine solche Website: hxxp[:]//biuy.are-eg[.]com/dashbord.

#drweb

Das potenzielle Opfer wird aufgefordert, seine personenbezogenen Informationen (Vor- und Nachname, Handynummer, ID etc.) anzugeben. Nach Eingabe der angeforderten Informationen wird die Seite hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php geöffnet, auf der der Nutzer aufgefordert wird, bestimmte Software herunterzuladen und zu installieren, um Zugriff auf die Handelsplattform zu erhalten. Statt des versprochenen Programms wird aber eine Modifikation des Trojaners Android.Spy.Lydia.1 heruntergeladen.

#drweb

Beim Start erhält der Trojaner über die Website hxxp[:]//teuoi[.]com einen Link zu einer Phishing-Website, die anschließend auf dem Gerätebildschirm mithilfe der Komponente WebView (ohne Start des Webbrowsers) angezeigt wird. Die von uns untersuchte Version des Schadprogramms öffnet die URL hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.

Der untenstehende Screenshot zeigt eine über die Komponente WebView geladene Phishing-Seite:

#drweb

Dieser Screenshot zeigt ein Formular, in das der Nutzer seine nationale Identifikationsnummer eintragen soll, um Dividenden erhalten zu können. In diesem Schritt sendet der Trojaner seine UID und eine Benachrichtigung über eine erfolgreiche Infektion des Geräts an den Verwaltungsserver.

Nach der Infektion verbindet sich der Trojaner über das WebSocket-Protokoll mit dem Remote-Host ws[:]//httpiamaloneqs[.]xyz:80 und wartet auf Befehle, die gleichzeitig an alle infizierten Geräte gesendet werden. Jeder Befehl enthält die ID des Geräts, an das er gesendet werden soll. Der Screenshot zeigt Befehle, die vom Verwaltungsserver an ein Botnet gesendet wurden.

#drweb

Trojaner der Familie Android.Spy.Lydia können:

  • Informationen über installierte Anwendungen sammeln
  • ihr Symbol in der Liste der Anwendungen ein- und ausblenden
  • Ton auf dem Gerät ausschalten
  • eingehende SMS-Nachrichten an den Server oder an eine festgelegte Handynummer weiterleiten
  • Inhalt des Pufferspeichers an den Server weiterleiten
  • SMS-Nachrichten mit beliebigen Inhalten an bestimmte Handynummern senden
  • Kontaktliste des Telefonbuchs an den Server senden
  • neue Kontakte zum Telefonbuch hinzufügen
  • bestimmte Websites mithilfe der Komponente WebView öffnen

Diese Features ermöglichen es Cyberkriminellen, SMS-Nachrichten abzufangen, herauszufinden, welche Banking-Apps potenzielle Opfer nutzen, und sich Zugriff auf Bankdaten der Nutzer zu verschaffen. Z.B. könnten von Banken gesendete SMS-Nachrichten mit Informationen über das Guthaben und getätigte Käufe abgefangen werden. Diese Informationen könnten von Cyberkriminellen genutzt werden, um sich z.B. in das Vertrauen des Nutzers einzuschleichen. Cyberkriminelle verwenden die A2P-Technologie (Senden von SMS-Nachrichten über Apps) und nutzen Schwachstellen im SMS-Sendeprotokoll aus, um gefälschte Nachrichten im Namen von Banken zu senden und Nutzer dazu zu bewegen, bestimmte Aktivitäten auszuführen. Betrüger verschaffen sich Zugriff auf SMS-Nachrichten des Nutzers und geben sich als dessen Bekannte aus, um z.B. Geld vom Nutzer auszuleihen. Außerdem ermöglichen es diese Trojaner, die Zwei-Faktor-Authentifizierung zu umgehen, Anmeldedaten zu stehlen und Zugriff auf das Bankkonto des Opfers zu erhalten.

Nach Angaben der Zentralbank der Russischen Föderation ist die Anzahl solcher Cyberangriffe im zweiten Quartal 2023 um 28,5% gestiegen. In diesem Zeitraum haben Cyberkriminelle 3,6 Milliarden Rubel gestohlen.

Doctor Web warnt: Sehen Sie davon ab, Software aus fragwürdigen Quellen herunterzuladen. Seien Sie vorsichtig, wenn Sie unerwartete Anrufe und SMS-Nachrichten von Banken erhalten. Außerdem empfehlen wir nachdrücklich, einen zuverlässigen Antivirus auf dem Gerät zu installieren.

Dr.Web Security Space für Android erkennt und neutralisiert Android.Spy.Lydia. Unsere Nutzer sind vor Datenlecks und Gelddiebstahl sicher geschützt.

Indikatoren der Kompromittierung

Mehr zu Android.Spy.Lydia.1

Ihre Meinung ist uns wichtig!

Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare