LodaRAT Windows-Malware zielt jetzt auch auf Android-Geräte

  • Ein bereits bekannter Windows-Remote-Access-Trojaner (RAT) mit Fähigkeiten zum Diebstahl von Anmeldeinformationen hat nun auch Benutzer von Android-Geräten ins Visier genommen, um die Spionagemotive der Angreifer zu fördern.

    “Die Entwickler von LodaRAT haben Android als Zielplattform hinzugefügt”, so die Forscher von Cisco Talos in einer Analyse vom Dienstag. “Es wurde eine neue Iteration von LodaRAT für Windows mit verbesserten Tonaufzeichnungsfunktionen identifiziert.

    Kasablanca, die Gruppe hinter der Malware, soll das neue RAT in einer laufenden Hybrid-Kampagne eingesetzt haben, die auf Benutzer in Bangladesch abzielt, so die Forscher.

    Der Grund, warum Organisationen in Bangladesch speziell für diese Kampagne ausgewählt wurden, bleibt unklar, ebenso wie die Identität des Bedrohungsakteurs.

    [Blocked Image: https://thehackernews.com/images/-yilOv0DP7Dk/YArTHpth-PI/AAAAAAAA3iA/g7VKaLpC19QwAPWO3mfVUdwlEU1_TTgQgCLcBGAsYHQ/s728-e100/pwned-password-728.jpg]

    Loda wurde erstmals im Mai 2017 von Proofpoint dokumentiert und ist eine AutoIt-Malware, die typischerweise über Phishing-Köder verbreitet wird. Sie ist in der Lage, eine Vielzahl von Befehlen auszuführen, die darauf abzielen, Audio- und Videodaten aufzuzeichnen und andere sensible Informationen zu erfassen.

    [Blocked Image: https://thehackernews.com/images/--8RMWrAwLfY/YCPKSh6P1SI/AAAAAAAABuY/7lRzGVnRVa0dHBhokPWNpXI-TtuC9YH8QCLcBGAsYHQ/s0/android-malware-permissions.jpg]

    Die neuesten Versionen – genannt Loda4Android und Loda4Windows – ähneln sich insofern, als dass sie mit einer ganzen Reihe von Datensammelfunktionen ausgestattet sind, die eine Stalker-Anwendung ausmachen. Die Android-Malware unterscheidet sich jedoch auch, da sie insbesondere Techniken vermeidet, die häufig von Banking-Trojanern verwendet werden, wie z. B. den Missbrauch von Accessibility-APIs zur Aufzeichnung von Bildschirmaktivitäten.

    Die Angriffe, die ihren Ursprung im Oktober 2020 haben, nutzen nicht nur dieselbe Command-and-Control-Infrastruktur (C2) für Android und Windows, sondern zielen auch auf Banken und Anbieter von Voice-over-IP-Software ab, wobei es Hinweise darauf gibt, dass der Autor der Malware in Marokko ansässig ist.

    Die Angreifer bedienten sich außerdem einer Vielzahl von Social-Engineering-Tricks, die von mit Tippfehlern besetzten Domains bis hin zu in E-Mails eingebetteten bösartigen RTF-Dokumenten reichten, die beim Öffnen eine Infektionskette auslösten, die eine Speicherkorruptionsschwachstelle in Microsoft Office (CVE-2017-11882) ausnutzt, um die endgültige Nutzlast herunterzuladen.

    [Blocked Image: https://thehackernews.com/images/-ICoOr9MEQO8/YCPKhqqDnPI/AAAAAAAABuc/omP3BWsDN5YFLSUMMZQgBowmX2eyD6GUwCLcBGAsYHQ/s0/android-malware.jpg]

    Während die Android-Version der Malware Fotos und Screenshots aufnehmen, SMS- und Anrufprotokolle lesen, SMS senden und Anrufe an bestimmte Nummern durchführen sowie SMS-Nachrichten oder Telefonanrufe abfangen kann, verfügt ihr neuestes Windows-Pendant über neue Befehle, die den Fernzugriff auf den Zielcomputer über das Remote Desktop Protocol (RDP) und den Befehl “Sound” ermöglichen, der die BASS-Audiobibliothek nutzt, um Audio von einem angeschlossenen Mikrofon zu erfassen.

    “Die Tatsache, dass sich die Bedrohungsgruppe zu hybriden Kampagnen entwickelt hat, die auf Windows und Android abzielen, zeigt eine Gruppe, die floriert und sich weiterentwickelt”, so die Forscher von Cisco Talos.

    “Zusammen mit diesen Verbesserungen hat sich der Bedrohungsakteur nun auf spezifische Ziele konzentriert, was auf reifere operative Fähigkeiten hinweist. Wie auch bei früheren Versionen von Loda stellen beide Versionen dieser neuen Iteration eine ernsthafte Bedrohung dar, da sie zu einem erheblichen Datenverlust oder schweren finanziellen Verlusten führen können.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com