Untergrund-Netzwerk auf Hacker-Konferenz Defcon enttarnt
Operation "Dragon Lady": Lookout deckt russischen Malware-Ring auf
Das Geschäft mit mobiler Schadsoftware boomt offenbar. Die Mehrzahl der Programme stammt jedoch von weniger als einem Dutzend russischer Malware-Unternehmen. Dies ist ein Ergebnis der Operation "Dragon Lady" des Sicherheitsexperten Lookout.
Das Unternehmen hat auf der Hacker-Konferenz Defcon die Ergebnisse seiner seit Dezember 2012 andauernden Beobachtung vorgestellt. Danach ist ein Netzwerk aus zehn Unternehmen für 60 Prozent des Betrugs mit kostenpflichtigen Premium-SMS in Russland verantwortlich. Der Codename „Dragon Lady“ entstand in Anlehnung an die amerikanischen U2-Aufklärungsflugzeuge, die während des Kalten Krieges die Sowjetunion überwachten.
Die zehn Malware-Unternehmen arbeiten mit mehreren tausend Affiliate-Partnern zusammen und statten diese mit den Werkzeugen und dem Know-how für effektive Malware-Kampagnen aus. Um die Verbreitung für ihre Partner so einfach wie möglich zu machen, haben die Malware-Unternehmen eine online verfügbare Do-It-Yourself-Plattform entwickelt.
Sysob/Alienvault: Open-Source-Tools vereint für mehr Netzwerksicherheit
Check Point: All-in-One-Sicherheitslösung für kleinere Unternehmen
Stonesoft: Freeware-Tool identifiziert Schwachstellen im Netzwerk
Logrhythm: Der Wert der Logdateien
In wenigen Schritten können sich selbst Anfänger ohne technische Vorkenntnisse ihre individuellen Schad-Apps zusammenstellen. Per Baukasten-Prinzip konfigurieren die Affiliate-Partner ihre Malware-Apps so, dass sie wie die neueste Version von Angry Birds oder von Skype aussehen. Sie richten Landing-Pages ein, für die sie auf Twitter oder per Smartphone-Anzeigen Werbung machen. Die Partner verfügen insgesamt über Zehntausende Web-Seiten, auf denen sie ihre Malware bewerben. Insbesondere Twitter nutzen sie intensiv: Von knapp 50.000 Profilen setzten sie insgesamt 250.000 Tweets mit Links zu den schädlichen Apps ab. Diese zielen vor allem auf Russisch sprechende Nutzer ab, die nach kostenlosen Apps, Spielen, Musik oder Pornos suchen. Einige der Affiliate-Partner verdienen Belegen zufolge bis zu 12.000 Dollar monatlich an Provisionen.
Während diese Partner den Vertrieb übernehmen, arbeiten die Malware-Unternehmen im Hintergrund. Sie verantworten die technischen Fragen rund um die Entwicklung und Zusammenstellung der Malware, veröffentlichen alle zwei Wochen neuen Code oder hosten die Malware. Zudem informieren sie ihre Partner per Blog-Post oder Newsletter über die neuesten Betrugstaktiken, oder wie sie sich der Strafverfolgung und Sicherheitsunternehmen entziehen. Einige Malware-Unternehmen haben sogar einen Wettbewerb unter ihren Affiliate-Partnern gestartet und belohnen den umsatzstärksten Partner. Zudem registrieren die Malware-Entwickler auch die Kurzwahlen für den Premium-SMS-Betrug. So kontrollieren sie die Geldflüsse und stellen sicher, nicht von ihren Partner übervorteilt zu werden.
„Seit dem ersten Premium-SMS-Betrug per Schad-App im August 2010 hat sich diese Art von Malware immer weiter verbreitet und wurde auch immer ausgefeilter“, sagt Ryan Smith, Sicherheitsexperte von Lookout, der das Untergrundnetzwerk seit mehr als einem halben Jahr beobachtet. „Aufgrund weniger strenger Regulierungen und dem Boom alternativer App Stores und Foren kommt Premium-SMS-Betrug vor allem in Osteuropa vor. So machen allein diese zehn Malware-Unternehmen 30 Prozent aller dieses Jahr von uns gestoppten Bedrohungen aus – und zwar weltweit“.
Alle Lookout-Nutzer seien vor diesen schädlichen Apps geschützt, so der Anbieter weiter. Soweit möglich, lasse Lookout auch die Kommando-Server abschalten, um den Malware-Unternehmen das Leben schwerer zu machen. Eine Strafverfolgung gestalte sich jedoch schwierig, nicht zuletzt da es rechtliche Grauzonen gebe. So sind rechtliche Hinweise auf Premium-Dienste beispielsweise in langen Texten versteckt oder als weiße Schrift auf weißem Hintergrund angezeigt.
Der vollständige Bericht zu dieser Untersuchung steht unter folgender Adresse zur Verfügung: www.lookout.com/de/dragon-lady
Weitere Informationen über Lookout
- Twitter: @LookoutDE
- Blog: blog.lookout.com/de/
Lesen Sie mehr zum Thema
