IT-Sicherheitsforscher von Zscalers ThreadLabz überwachen den Google Play Store und analysieren darüber verteilte bösartige Apps. Besonders im Fokus steht die Malware Anatsa (auch als Teabot bekannt), die Android-Geräte angreift und auf Finanz-Apps abzielt. Erste Samples wurden bereits 2020 entdeckt, nun hat sich die Malware jedoch deutlich weiterentwickelt.

In ihrer Analyse schreiben die Zscaler-Forscher, dass Anatsa ursprünglich als Banking-Trojaner startete, der Zugangsdaten stehlen, Keylogging betreiben und betrügerische Transaktionen ausführen konnte. Die jüngste Inkarnation kann inzwischen 831 Finanzinstitutionen weltweit angreifen. Außerdem sind Institute in Deutschland und Südkorea neu hinzugekommen – nebst Kryoptwährung-Plattformen. Die Auslieferung des bösartigen Codes haben die Drahtzieher verschlankt, indem sie das dynamische Laden von Dalvik-Executable-Payloads (DEX) aus dem Netz durch direkte Installation des Anatsa-Schadcodes ersetzt haben.

Tarn-Apps mit hohen Download-Zahlen

Viele der Tarn-Apps, die Anatsa mitbringen, haben Installationszahlen von mehr als 50.000 Downloads im Play Store, gibt Zscaler an. Mit Beifang, also Malware-Apps mit nicht-Anatsa-Schadcode, kommen die IT-Forscher auf 77 Apps, die insgesamt mehr als 19 Millionen Mal installiert wurden. Diese hat Zscaler an Google gemeldet.

Die vorhergehenden Anatsa-Kampagnen hatten noch mehr als 650 Finanzinstitutionen zum Ziel. Unter den etwa 180 hinzugekommenen finden sich mehr als 150 neue Banking- und Kryptowährungs-Apps. Anatsa setzt auf eine Dropper-Technik, bei der die bösartige App im Google Play Store bei Installation harmlos erscheint. Nach der Installation lädt Anatsa jedoch als Update getarnten Schadcode vom Command-and-Control-Server herunter. Dadurch umgeht Anatsa den Erkennungsmechanismen im Play Store und kann erfolgreich Geräte infizieren. Das Zscaler-Team analysiert zudem die Tarnmechanismen genauer. So kommt etwa ein defektes Archiv zum Einsatz, um eine DEX-Datei zu verstecken, die zur Laufzeit aktiviert wird. Standard-ZIP-Tools können wegen des Defekts die Datei nicht analysieren und die Malware vorbei schlüpfen.

Zugangsdaten leitet Anatsa aus, indem die Malware gefälschte Log-in-Seiten anzeigt, die sie vom Command-and-Control-Server herunterlädt. Die Seiten sind maßgeschneidert an die Apps der Finanzinstitute, die Anatsa auf dem Smartphone vorfindet.

In ihrer Analyse nennen die Zscaler-Forscher vier Indizien für einen Befall (Indicators of Compromise, IOCs). Eine vollständige Liste der 77 bösartigen Apps fehlt jedoch – nach Meldung an Google sind die offenbar jedoch nicht mehr im Play Store verfügbar und mittels Google Play Protect auch von Smartphones im Google-Kosmos automatisch entfernt worden.

Im vergangenen Jahr hatte Zscaler einen Lagebericht herausgegeben, dem zufolge das Unternehmen mehr als 200 bösartige Apps im Google Play Store aufgespürt hatte. Die kamen jedoch lediglich auf 8 Millionen Installationen, diese Zahl hat sich also mehr als verdoppelt.

(dmk)

Stimmen die Voraussetzungen, können Angreifer WordPress-Websites mit dem Plug-in Dokan Pro attackieren, um Admin-Accounts zu übernehmen und Seiten zu kompromittieren.

Die Gefahr

Mit dem Plug-in setzt man Onlineshops auf, in denen sich Nutzer als Verkäufer mit eigenen Marktplatzshops registrieren können. Nun weisen Sicherheitsforscher von Wordfence in einem Beitrag auf eine mittlerweile geschlossene Sicherheitslücke (CVE-2025-5931 „hoch„) hin.

Um eine Attacke einleiten zu können, müssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, können sie am fehlerhaften Code, über den sich Nutzer als Marktplatzverkäufer registrieren können, ansetzen und einen neuen Nutzer mit Adminrechten anlegen. Im Anschluss können sie ein eigenes Passwort festlegen und weitreichend auf die Website zugreifen. Darüber können sie etwa Hintertüren in Onlineshops verankern.

Sicherheitspatch verfügbar

Die Entwickler versichern, dass sie die Version 4.0.6 gegen die geschilderte Attacke abgesichert haben. Alle vorigen Ausgaben sollen verwundbar sein. Unklar ist derzeit, ob es bereits Attacken gibt. Admins von WordPress-Websites mit diesem Plug-in sollten in den Einstellungen Ausschau nach unbekannten Accounts halten. Werden sie fündig, sollten sie die Konten umgehend löschen.

Zuletzt wurden Sicherheitslücken im WordPress-Plug-in UiCore Elements mit rund 40.000 aktiven Installationen geschlossen. An dieser Stelle konnten Angreifer eigentlich abgeschottete Informationen auf Servern einsehen.

(des)

Auf Admins der Cloud-basierten Fernwartungssoftware ScreenConnect läuft eine Spear-Phishing-Kampagne. Das haben IT-Sicherheitsforscher herausgefunden. Den Angreifern geht es dabei um initialen Zugriff auf Netzwerke, um Ransomware zu platzieren.

In einer Analyse der Speer-Phishing-Kampagne erörtert Mimecast, dass die Kampagne in mehreren Läufen seit 2022 aktiv ist. Die Angreifer versendeten in den einzelnen Durchgängen stets vergleichsweise wenige E-Mails, bis zu 1000. Dadurch bleiben sie weitgehend unentdeckt. Für den Mail-Versand nutzen die kriminellen Drahtzieher Amazon Simple E-Mail-Service-Konten (SES) und zielen auf leitende ITler ab, etwa Leiter, Manager oder IT-Security-Mitarbeiter mit erhöhten Zugangsrechten in ScreenConnect-Umgebungen. Die Angreifer haben es insbesondere auf Super-Admin-Zugänge abgesehen, die weitreichende Kontrolle über die Fernzugriff-Struktur ganzer Organisationen erlauben.

Die Angreifer verwenden Logos und Optik von ScreenConnect respektive Hersteller Connectwise. In den Phishing-Mails thematisieren sie etwa einen Alarm wegen Zugriffen von neuen IP-Adressen. Die Schaltfläche „Review Security“ in der Mail führt dann auf die Phishing-Seiten – die ebenfalls an die Original-Optik angelehnt sind. Auch die URLs wirken auf den ersten Blick korrekt. Sie verwenden unter anderem Top-Level-Domains, die Connectwise tatsächlich nutzen könnte, wie connectwise[.]com.ar oder connectwise[.]com.be.

Fortschrittliche Angriffe

Für die Phishing-Seiten setzen die bösartigen Akteure auf das EvilGinx-Open-Source-Framework. Es sitzt in einer Man-in-the-Middle-Position und dient dem Abfangen von Zugangsdaten und Codes für die Multifaktorauthentifizierung. Damit können die Angreifer persistenten Zugriff auf kompromittierte Zugänge erhalten. Den nutzen sie für die laterale Fortbewegung in den Netzwerken der Opfer, um zusätzliche Zugriffstools oder Malware auf verwalteten Endpunkte zu installieren.

Indizien für Infektionen (Indicators of Compromise, IOCs) nennt Mimecast in der Analyse in Form bislang beobachteter missbrauchter Angriffs-Domains und Infrastruktur-Diensten. Einige Tipps sollen helfen, die Zugangssicherheit zu verbessern. So sollten Unternehmen etwa den ScreenConnect-Admin-Zugang lediglich von verwalteten Geräten in der Organisation aus erlauben. Die Umstellung auf FIDO2/WebAuthn für ScreenConnect-Zugänge schützt diese zudem vor Phishing. Die Analyse liefert noch weitere mögliche Optimierungen.

Die Fernwartungssoftware Connectwise ScreenConnect steht bei Angreifern weit oben auf der Liste. Etwa Anfang Juni warnte die US-amerikanische IT-Sicherheitsbehörde CISA vor laufenden Angriffen. Am gleichen Tag haben Angreifer jedoch nicht nur Sicherheitslücken in der Software attackiert, sondern Connectwise gab bekannt, dass staatlich gelenkte Angreifer in die Netze des Anbieters eingedrungen sind.

(dmk)