Facebook vereitelt Operation palästinensischer Hacker, die mobile Spyware verbreiten

Cyber Security News

Facebook gab am Mittwoch bekannt, dass es Schritte unternommen hat, um die bösartigen Aktivitäten von zwei staatlich geförderten Hackergruppen zu zerschlagen, die von Palästina aus operierten und seine Plattform zur Verbreitung von Malware missbrauchten.

Der Social-Media-Riese schrieb die Angriffe einem Netzwerk zu, das mit dem Preventive Security Service (PSS) verbunden ist, dem Sicherheitsapparat des Staates Palästina, und einem anderen Bedrohungsakteur, der als Arid Viper (auch bekannt als Desert Falcon und APT-C-23) bekannt ist, wobei letzterer angeblich mit dem Cyber-Arm der Hamas verbunden ist.

Die beiden digitalen Spionagekampagnen, die in den Jahren 2019 und 2020 aktiv waren, nutzten eine Reihe von Geräten und Plattformen wie Android, iOS und Windows aus, wobei der PSS-Cluster in erster Linie auf einheimische Zielgruppen in Palästina abzielte. Die andere Gruppe von Angriffen zielte auf Benutzer in den palästinensischen Gebieten und Syrien sowie in geringerem Umfang auf die Türkei, den Irak, den Libanon und Libyen ab.

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

Beide Gruppen scheinen die Plattform als Sprungbrett genutzt zu haben, um eine Vielzahl von Social-Engineering-Angriffen zu starten, um Menschen dazu zu verleiten, auf bösartige Links zu klicken und Malware auf ihren Geräten zu installieren. Um die Operationen der Gegner zu stören, hat Facebook nach eigenen Angaben ihre Konten gelöscht, Domänen, die mit ihren Aktivitäten in Verbindung stehen, blockiert und Nutzer, von denen es vermutet, dass sie von diesen Gruppen ausgesondert wurden, alarmiert, um ihnen zu helfen, ihre Konten zu sichern.

Android-Spyware in gutartig aussehenden Chat-Apps

PSS soll speziell angefertigte Android-Malware verwendet haben, die als sichere Chat-Anwendungen getarnt war, um heimlich Gerätemetadaten zu erfassen, Tastenanschläge aufzuzeichnen und die Daten auf Firebase hochzuladen. Darüber hinaus setzte die Gruppe eine weitere Android-Malware namens SpyNote ein, die über die Fähigkeit verfügte, Anrufe zu überwachen und Fernzugriff auf die kompromittierten Telefone zu erhalten.

[Blocked Image: https://thehackernews.com/images/-RCA7BjzVfw8/YIEEU111nRI/AAAAAAAACVY/s3UdShM1RX8Qb-NEC0tih5LI7L2htv8fwCLcBGAsYHQ/s0/facebook-1.jpg]

Diese Gruppe nutzte gefälschte und kompromittierte Konten, um fiktive Personas zu erstellen, die sich oft als junge Frauen ausgaben, aber auch als Unterstützer der Hamas, der Fatah, verschiedener militärischer Gruppen, Journalisten und Aktivisten mit dem Ziel, Beziehungen zu den Zielpersonen aufzubauen und sie auf Phishing-Seiten und andere bösartige Websites zu leiten.

“Dieser anhaltende Bedrohungsakteur konzentrierte sich auf eine breite Palette von Zielen, einschließlich Journalisten, Menschen, die gegen die Fatah-geführte Regierung sind, Menschenrechtsaktivisten und militärische Gruppen, einschließlich der syrischen Opposition und des irakischen Militärs,” Facebook-Forscher, die die Cyberspionage-Untersuchungen leiten, sagten.

Eine ausgeklügelte Spionage-Kampagne

Arid Viper hingegen wurde dabei beobachtet, wie sie eine neue, maßgeschneiderte iOS-Überwachungssoftware namens “Phenakite” in ihre gezielten Kampagnen einbauten, die laut Facebook in der Lage war, sensible Benutzerdaten von iPhones zu stehlen, ohne die Geräte vor der Kompromittierung zu jailbreaken. Phenakite wurde den Nutzern in Form einer voll funktionsfähigen, aber trojanisierten Chat-Anwendung namens MagicSmile geliefert, die auf einer chinesischen App-Entwicklungsseite eines Drittanbieters gehostet wurde und heimlich im Hintergrund lief und ohne das Wissen des Nutzers auf dem Telefon gespeicherte Daten abgriff.

[Blocked Image: https://thehackernews.com/images/-Pt-L14qhLw0/YIEGD5faw2I/AAAAAAAACVg/tUUkDaHQhmowwNszQR_6lmf0g_hq4gNqwCLcBGAsYHQ/s0/ios.jpg]

Die Gruppe unterhielt außerdem eine riesige Infrastruktur mit 179 Domains, die zum Hosten von Malware verwendet wurden oder als Command-and-Control-Server (C2) fungierten.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

“Der Inhalt der Köder und die bekannten Opfer deuten darauf hin, dass es sich bei der Zielgruppe um Personen handelt, die mit Pro-Fatah-Gruppen, palästinensischen Regierungsorganisationen, Militär- und Sicherheitspersonal sowie Studentengruppen innerhalb Palästinas in Verbindung stehen”, so die Forscher weiter.

Facebook vermutet, dass Arid Viper die iOS-Malware nur in einer Handvoll Fällen verwendet hat, was auf eine sehr gezielte Operation hindeutet. Die mit der Hamas verbundenen Hacker konzentrierten sich stattdessen auf eine sich entwickelnde Reihe von Android-basierten Spyware-Apps, die vorgaben, Dating, Networking und regionales Banking im Nahen Osten zu erleichtern, wobei der Gegner die Malware als gefälschte App-Updates für legitime Apps wie WhatsApp maskierte.

Nach der Installation forderte die Malware die Opfer auf, Google Play Protect zu deaktivieren und der App Geräteverwaltungsrechte zu erteilen. Mit diesen Rechten konnten sie Anrufe aufzeichnen, Fotos, Audio- und Videodaten oder Screenshots erfassen, Nachrichten abfangen, den Standort des Geräts verfolgen, Kontakte, Anrufprotokolle und Kalenderdetails abrufen und sogar Benachrichtigungsinformationen von Messaging-Apps wie WhatsApp, Instagram, Imo, Viber und Skype abrufen.

In einem Versuch, eine zusätzliche Ebene der Verschleierung hinzuzufügen, wurde dann festgestellt, dass die Malware eine Reihe von durch Angreifer kontrollierte Websites kontaktiert, die wiederum das Implantat mit dem C2-Server für die Datenexfiltration versorgen.

“Arid Viper hat kürzlich sein offensives Toolkit um iOS-Malware erweitert, von der wir glauben, dass sie in gezielten Angriffen gegen Pro-Fatah-Gruppen und Einzelpersonen eingesetzt wird”, so die Facebook-Forscher. “Da die technologische Raffinesse von Arid Viper als niedrig bis mittel eingestuft werden kann, sollte diese Erweiterung der Fähigkeiten den Verteidigern signalisieren, dass andere niedrigstufige Gegner möglicherweise bereits über ähnliche Werkzeuge verfügen oder diese schnell entwickeln können.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com