iOS- und Android-Nutzer werden derzeit von neuer Spyware heimgesucht. Die Spyware scheint eine Erweiterung des Erpressungsschemas zu sein, das über illegale Websites übertragen wird. Die Malware bzw. Ransomware namens „Goontact“.
Die Malware macht Jagd auf ahnungslose Benutzer und stiehlt persönliche Informationen wie Kontakte, SMS und Fotos von einem iPhone. Es scheint, dass die Ransomware hauptsächlich asiatische Länder wie China, Korea und Japan betrifft. Sicherheitsforscher von Lookout zeigen, dass die Malware installiert wird, wenn der Benutzer illegale Websites besucht.
Der Modus Operandi besteht darin, Benutzer auf illegale Websites zu locken. Darüber hinaus ermutigen Goontact-Betreiber, die sich als Begleitpersonen ausgeben, Benutzer dazu, eine iOS-App zu laden. Nach der Installation stiehlt die App umgehend die privaten Informationen der Benutzer. Schließlich greifen die Angreifer zu Erpressung und Erpressung.
Interessanterweise verwendet die Spyware ein Apple Unternehmensentwicklerzertifikat, das sehr legitim aussieht. Alle Zertifikate beziehen sich auf legitime Unternehmen. Die Frage ist, ob die Unternehmen kompromittiert sind oder sich die Betreiber mit gewissenhaften Mitteln Zertifikate beschafft haben. Sicherheitsforscher fanden auch heraus, dass mehrere Zertifikate gesperrt wurden. Den Betreibern gelang es jedoch immer, neue Zertifikate zu beschaffen.
Wie bleibe ich sicher?
Goontact ist in bestimmten asiatischen Ländern weit verbreitet. In der Zwischenzeit könnte die gleiche Sorte modifiziert werden, um auch Benutzer in anderen Ländern anzusprechen. Die Angreifer setzen weiterhin auf Social-Engineering-Techniken. Mit anderen Worten, Sie sind vor Spyware geschützt, solange Sie die App nicht von außerhalb des App Store herunterladen. Oder Sie können Apps direkt von offiziellen Websites vertrauenswürdiger Entwickler herunterladen.
Apple arbeitet daran, Zertifikate zu widerrufen, die im Betrug verwendet wurden, mit Ausnahme eines Entwicklers, dessen Konto kompromittiert wurde. Apple sagt, dass alle Zertifikate bis Ende dieser Woche widerrufen werden.
[via LookOut]
