Achtung Telegram-Nutzer! SpyMax RAT greift an, um sensible Daten zu stehlen

Cybersicherheitsforscher von K7 Labs haben eine neue Bedrohung aufgedeckt, die auf Telegram-Nutzer abzielt. Die bösartige Software SpyMax ist ein Remote Administration Tool (RAT), das darauf ausgelegt ist, sensible Daten von Android-Geräten zu stehlen.

Was ist SpyMax?

SpyMax ist eine hochentwickelte Malware, die persönliche und private Informationen von infizierten Geräten ohne Zustimmung des Nutzers sammelt. Diese Daten werden an einen entfernten Bedrohungsakteur gesendet, der dadurch das Gerät des Opfers kontrollieren und die Vertraulichkeit und Integrität der Daten kompromittieren kann.

Phishing-Kampagne gegen Telegram-Nutzer

Die Forscher von K7 Labs entdeckten eine Phishing-Kampagne, die speziell auf Telegram-Nutzer abzielt. Die Kampagne verwendet eine gefälschte Telegram-App, um Opfer dazu zu bringen, die bösartige Software herunterzuladen.

Funktionsweise von SpyMax

Nach der Installation der bösartigen „ready.apk“ gibt sich die Malware als Telegram-App aus. Das Icon sieht dem der legitimen Telegram-App sehr ähnlich. Nach der Installation fordert die RAT den Nutzer häufig auf, den Zugriff auf den Bedienungshilfedienst zu ermöglichen. Diese Aufforderung bleibt bestehen, bis der Nutzer die erforderlichen Berechtigungen erteilt.

Technische Analyse

Mit den erforderlichen Berechtigungen fungiert die APK als Trojaner mit Keylogger-Funktionen. Sie erstellt ein Verzeichnis „Config/sys/apps/log“ im externen Speicher des Geräts und speichert Protokolle in Dateien namens „log-yyyy-mm-dd.log“. Die Malware sammelt auch Standortinformationen wie Höhe, Breite, Länge, Genauigkeit und sogar die Geschwindigkeit, mit der sich das Gerät bewegt.

SpyMax kombiniert alle gesammelten Daten und komprimiert sie mithilfe der gZIPOutputStream-API, bevor sie an den Command-and-Control-Server (C2) gesendet werden. Die RAT kontaktiert den C2-Server unter der IP-Adresse 154.213.65[.]28 über den Port 7771, der verschleiert ist.

Dekomprimierte Daten

Der dekomprimierte Inhalt der gzip-Datei zeigt die IP-Adresse und andere sensible Informationen. Der C2-Server antwortet mit einer Reihe von komprimierten Daten, die Systembefehle und eine APK-Nutzlast enthalten, wenn sie dekomprimiert werden. Diese Struktur der vom C2-Server an das Gerät des Opfers gesendeten Befehle zeigt das Ausmaß der Kontrolle, die der Angreifer über das infizierte Gerät erlangt.

Schutzmaßnahmen

Nutzer sollten vorsichtig sein und Software nur von vertrauenswürdigen Plattformen wie Google Play und dem App Store herunterladen. Es ist auch wichtig, alle bekannten Sicherheitslücken auf den Geräten zu patchen, um Angriffe wie diesen zu verhindern.

Indikatoren einer Kompromittierung (IoCs)

Package Name: reputation.printer.garmin
Hash: 9C42A99693A2D68D7A19D7F090BD2977
Detection Name: Trojan ( 005a5d9c1 )
URL: https://telegroms[.]icu/assets/download/ready.apk
C2: 154.213.65[.]28:7771

Bleiben Sie wachsam und schützen Sie Ihre Daten vor bösartigen Akteuren wie denen hinter SpyMax.

Achtung Telegram-Nutzer! SpyMax RAT greift an, um sensible Daten zu stehlen

zusammenhängende Posts

Schwachstellen in Proofpoint-Einstellungen ermöglichten den Versand von Millionen Phishing-E-Mails

Phishing-Attacken steigen um 58%: KI-gestützte Tools ermöglichen ausgeklügelte Betrugsversuche

Edwardian Hotels London: Opfer der Black Basta Ransomware

Samsung von neuem Datenleck betroffen, das Kunden des britischen Online-Shops trifft

Neueste Beiträge