Gaza-Gang Arid Viper: Gezielte Angriffe mit gefälschter Dating-App Skipped

Cisco Talos, der Ableger für IT-Sicherheit des US-Netzwerkausrüsters Cisco Systems, warnt vor gezielten Angriffen der im Gaza-Streifen verorteten Cyberbande Arid Viper auf deutsche Handy-Nutzer. Die von der Gruppe als "Skipped Messenger" in Umlauf gebrachte Malware ähnelt demnach stark der App "Skipped – Chat, Match & Dating", hinter der die gleichnamige Firma mit Sitz in Handewitt bei Flensburg steckt. Das kann leicht zu Verwechslungen bei Downloads führen. Da die Werbung und die App selbst in deutscher Sprache verfasst sind, gehen die Sicherheitsexperten davon aus, dass die Anwendungen hauptsächlich für den deutschen Markt entwickelt wurden.

Die Schadsoftware baut Hintertüren in die Mobiltelefone der Betroffenen ein. Das ermöglicht es den Angreifern etwa, unbefugt Daten abzuziehen, Gespräche abzuhören, SMS zu empfangen und zu versenden, auf die Kamera zuzugreifen, Sicherheitshinweise zu deaktivieren und Dateien wie weitere Malware ohne Hinweis an die Nutzer zu installieren. Um potenzielle Opfer zum Herunterladen der gefälschten App zu motivieren, teilen Mitglieder von Arid Viper bösartige Links, die sich als Updates der Dating-Anwendung tarnen. Als besonders auffällig wertet Cisco Talos, dass die Schadsoftware auf Entwicklungsebene das gleiche Projekt wie die Dating-App nutze. Diese Überschneidung deute darauf hin, dass die Angreifer mit dem Entwickler von Skipped in Verbindung stünden und von diesem Nutzungsrechte eingeräumt bekommen hätten. Eine Kompromittierung sei dagegen unwahrscheinlich.

"Skipped_Messenger" verwende das Messaging System Firebase von Google als Befehls- und Kontrollkanal, die nicht bösartige Dating-App zum Versenden von Benachrichtigungen, schreiben die Sicherheitsexperten. Firebase funktioniere über die Erstellung eines benannten Projekts zusammen mit anderen eindeutigen Kennungen. Es sei durch spezielle Anmeldeinformationen und API-Schlüsseln geschützt. Damit Entwickler Anwendungen schreiben könnten, die dasselbe Projekt und dieselben Firebase-Datenbanken verwenden, benötigten sie diese Daten sowie weitere Kennungen wie Anwendungs-IDs, die in der zugehörigen Konsole generiert werden. Da die Schlüssel und IDs bei beiden Skipped-Versionen unterschiedlich sind, hatten die Malware-Erzeuger offenbar zunächst Zugang zum gleichen Firebase-Projekt sowie den zugehörigen Backend-Registern und erzeugten dann ihre eigenen Anmeldeinfos.

Weitere simulierte Dating-Apps

Bei ihren Untersuchungen deckten die Forscher auch eine Reihe weiterer simulierter Dating-Apps und ein Firmengeflecht auf, die mit Skipped verknüpft sind. Sie leiten daraus ab, dass die Arid-Viper-Gruppe versuchen dürfte, auch diese Anwendungen in künftigen Angriffsoperationen einzusetzen. Der Ansatz, die Namen legitimer Programme zu missbrauchen, um Nutzer zum Herunterladen schädlicher Software zu bringen, stehe generell im Einklang mit der Honigtopf-Taktik, die die Bande schon in der Vergangenheit angewendet habe. Konkret gehe es aktuell etwa um die Dating-Apps Joostly, Vivio und Meeted, die teils über den Google Play Store und teils über Apples App Store verfügbar sind.

Die hiesige Skipped GmbH scheine mit einer Vielzahl solcher harmlos wirkender Anwendungen verbunden zu sein, erläutern die Analysten. Letztere würden von Unternehmen in Singapur und Dubai wie Adx Consulting, Quvy, Nyutainment und Dream herausgegeben. Die Domains, die für deren Vertrieb genutzt würden, habe die Skipped GmbH registriert. Bei den meisten der verdächtigen Apps unterbrächen Aufforderungen laufende Chats, "Coins" zu kaufen, um die Interaktion fortzusetzen. Eine solche Funktion könnte als weitere Einnahmequelle für Arid Viper angelegt worden sein. Cisco Talos will das Netzwerk zwar noch nicht direkt als Betrugsmaschinerie einstufen. Bezeichnend sei aber etwa, dass das Landgericht Berlin bereits 2022 den Nyutainment-Vorgänger Sllik wegen Irreführung mit gefälschten Profilen auf der Flirt-Plattform icatched.de zur Unterlassung verurteilt habe.

(olb)