• Category Archives Sicherheitswarnung
  • Trojaner in WhatsApp-Erweiterung


    Sicherheitsforscher von Kaspersky fanden in der Erweiterung FMWhatsApp (Version 16.80.0) den Trojaner Triada . In die Software gelangte dieser Schädling offenbar über ein manipuliertes SDK-Paket (Software-Development-Kit). Auch über die Auswirkungen des Trojaners konnte Kaspersky bereits erste Aussagen machen: So sammelt Triada im Hintergrund unbemerkt Daten über das Gerät. Im Anschluss werden weitere Trojaner über das Internet nachgeladen. Einige davon zeigen Werbung an, andere schließen kostenpflichtige Abonnements im Namen des Nutzers ab. Weitere Schädlinge loggen sich hingegen in das eigene Whatsapp-Konto ein, wofür diese die SMS mit dem Bestätigungscode unbemerkt abfangen.

    Wer einen aktuellen Virenscanner auf seinem Android-Gerät installiert hat, dürfte im Falle der FMWhatsApp APK bereits gewarnt worden sein. Auch eine Entfernung dürfte wohl scheinbar möglich sein. Wer sichergehen will, dass er nicht ausgespäht wird, sollte von derartigen Erweiterungen – auch hier reden wir mal wieder von einer APK-Erweiterung, die es nicht über den regulären Playstore gibt – lieber ganz die Finger lassen. Ich habe hier in der Computer-Ecke schon mehrfach vor dieser Art von Apps gewarnt!

    Hier zum Schluss noch der Link zur Warnung von Kaspersky Labs:
    Modifizierte Version von WhatsApp: Cyberkriminelle verbreiten schädlichen Code in beliebter Mod-App


  • Neuer Trojaner späht Logindaten aus


    Ein neuer Trojaner mit dem Namen Vultur späht Login-Daten inklusive Passwörter fürs Online-Banking und für Krypto-Wallets zur Verwaltung von Bitcoin & Co aus. Dies meldet das Online-Magazin The Hacker News am 29. July 2021.
    Demnach wurde festgestellt, dass ein zuvor undokumentierter Android-basierter Remote-Access-Trojaner (RAT) Bildschirmaufzeichnungsfunktionen verwendet, um sensible Informationen (einschließlich Bankdaten) auf dem Gerät zu stehlen und die Tür für Betrug auf dem Gerät zu öffnen. Diese Malware ist laut ThreatFabric über den offiziellen Google Play Store – als App namens „Protection Guard“ getarnt – verbreitet worden. Sie sei bereits über 5000-mal installiert worden. Daher sei die Zahl der Opfer auch in etwa diesem Größenbereich zu vermuten.
    Da ich hier nun nicht als Plagiatist verschrien werden möchte, lege ich Euch dringend ans Herz, den bei HEISE.de zu findenden Artikel genau zu studieren. Denn im Falle dessen, dass Ihr auf diese Malware hereingefallen seid, sind einige Dinge für Euch zu beachten.

    Zu guter Letzt sei zu vermelden, dass diese Malware bereits aus dem Google Play Store entfernt wurde.


  • Achtung Passwortdiebe


    Wie das Magazin ArsTechnica am 2 Juli diesen Jahres berichtete, entdeckte ein Sicherheitsteam bei Dr. Web Antivirus im Google Playstore (Android) NEUN Apps, die Facebook-Passwörter stahlen. Diese Trojaner tarnten sich als etwas anderes, als sie es eigentlich waren, um ihre Opfer zu täuschen.

    – Zitat ArsTechnica:

    Diese Trojaner nutzten einen speziellen Mechanismus, um ihre Opfer auszutricksen. Nachdem sie beim Start die erforderlichen Einstellungen von einem der C&C-Server erhalten hatten, luden sie die legitime Facebook-Webseite https://www.facebook.com/login.php in WebView. Als nächstes luden sie vom C&C-Server empfangenes JavaScript in dieselbe WebView. Dieses Skript wurde direkt verwendet, um die eingegebenen Anmeldeinformationen zu kapern. Danach übergab dieses JavaScript mithilfe der Methoden, die durch die JavascriptInterface-Annotation bereitgestellt wurden, gestohlenes Login und Passwort an die Trojaner-Anwendungen, die dann die Daten an den C&C-Server der Angreifer übermittelten. Nachdem sich das Opfer in sein Konto eingeloggt hatte, stahlen die Trojaner auch Cookies aus der aktuellen Autorisierungssitzung. Diese Cookies wurden auch an Cyberkriminelle gesendet.

    Die Analyse der Schadprogramme ergab, dass sie alle Einstellungen zum Stehlen von Logins und Passwörtern von Facebook-Konten erhielten. Die Angreifer hätten jedoch leicht die Einstellungen der Trojaner ändern und ihnen befehlen können, die Webseite eines anderen legitimen Dienstes zu laden. Sie könnten sogar ein vollständig gefälschtes Anmeldeformular verwendet haben, das sich auf einer Phishing-Site befindet. So könnten die Trojaner verwendet werden, um Logins und Passwörter von jedem Dienst zu stehlen.

    – Zitat Ende

    Es geht dabei um folgende Apps:

    • App Lock Keep
    • App Lock Manager
    • Horoskop Pi
    • Horoskop täglich
    • Inwell Fitness
    • Lockit Master
    • PIP Photo
    • Processing Photo
    • Rubbish Cleaner

    Es ist dringend anzuraten, diese Apps sehr schnell zu deinstallieren und anschließend das Passwort bei Facebook zu ändern. Leider muss man diese Apps selbst entfernen, da der Playstore diese nicht automatisch entfernen kann.


  • Whatsapp: Vorsicht vor neuer Betrugsmasche


    Zur Zeit warnt das LKA Niedersachsen erneut vor einer altbekannten Methode: Nutzer erhalten eine Nachricht über den Messenger-Dienst WhatsApp. Nicht selten kommt die Mitteilung nicht von einer unbekannten Nummer, sondern direkt aus der eigenen Kontaktliste.

    In der Nachricht heißt es, dem Landeskriminalamt Niedersachsen zufolge, der Absender habe versehentlich einen sechsstelligen Code an den Empfänger verschickt und benötige diesen dringend zurück. Selbst auf Nachfrage erhalte der WhatsApp-User dann eine schlüssige Erklärung, wofür der vermeintliche Bekannte die Zahlenfolge benötige.

    Lesen Sie HIER den ganzen Artikel der Polizei/LKA.

    Dringende Empfehlung: Wenn Sie solche Nachrichten erhalten, sind Sie in den meisten Fällen bereits kompromittiert. Dann ist es am besten – wenn nicht bereits geschehen – sofort eine Zweifaktor-Authentifizierung für die WhatsApp einzurichten. Diese findet man in den WhatsApp-Einstellungen, Account, Verifizierung in zwei Schritten. Dort muss zunächst eine selbstgewählte 6-stellige PIN (nicht die aus der SMS und diese PIN niemals weitergeben!!) vergeben werden. Im Anschluss kann man noch eine Mail-Erreichbarkeit für alle Fälle hinterlegen.

    Weitere Empfehlung: Bitte achten Sie peinlich genau darauf, wem sie welche Daten anvertrauen. Passwörter, Pin-Codes gibt man nicht an Dritte weiter und Telefonnummern anderer Personen/Kontakte gibt man nicht einfach jedem ungefragt weiter!


  • Warnung vor FluBot Trojaner (Android)


    Wie Bitdefender anfang Juni 2021 in seiner Community berichtete, verbreitet sich neuerdings ein Banking-Trojaner namens Flubot (auch bekannt als Cabassous) auf Android-Geräten. Einmal mehr ist es eine App, die man sich nur und ausschließlich durch die Installation einer APK Installations-Datei einfängt. Der Flubot Trojaner ist zwar weltweit aktiv, hat jedoch in Deutschland besonderen Erfolg, wo bisher über 60 Prozent der bisherigen Fälle verzeichnet worden sind. Ausserdem verbreitet er sich auch in Spanien, Italien und Großbritannien – über gefälschte Versionen der jeweils lokal genutzten Paketdienste.

    Günter Born, Betreiber von Borncity.com, schreibt dazu in seinem Blog:
    Die Betreiber von Flubot verbreiten ihre Malware direkt über personalisierte SMS, sogenanntes “Smishing“ (siehe Links am Artikelende). Die Malware stiehlt Kontaktnamen und Telefonnummern aus der Kontakt-App der Opfer und sendet sie an den Server der Kriminellen. Dieser verwendet SMS-Vorlagen und nutzt darin den echten Namen des Empfängers. So erhalten nichtsahnende Nutzer scheinbar authentische Textnachrichten, die diese dazu auffordern die gefälschte App zu installieren, um beispielsweise den Zeitpunkt der Zustellung eines Pakets zu vereinbaren.

    Ich möchte hier noch einmal eine dringende Warnung aussprachen, die ich – so glaube ich – schon einige Male ausgesprochen habe -.

    Installieren Sie sich niemals APPS von ausserhalb gesicherter APP-Stores. Weder auf Android, noch unter iOS (iPhone). Sogenannte APK-Applikationen sind oft Malware oder sonstige schädliche Software, die oft darauf auszielt, die Kontaktdaten der Nutzerauszuspähen und/oder die Benutzer zu erpressen.