Die Malware, so berichtet Bitdefender, würde regelmäßig aktualisiert. Besonders spannend jedoch der Hinweis, dass im Oktober 2019 eine Komponente dazu kam, die mit dem Mining der Kryptowährung Monero begann.

Geräte zu schwach für Kryptomining

Sieht man von dem Problem ab, dass die Hacker in der Lage sind, weltweit viele Geräte zu infizieren, stellen sie sich „unglücklich“ an. Denn der Versuch auf den gehackten Geräten eine Kryptowährung zu schürfen bindet Ressourcen und liefert keinen Ertrag. Zu schwach sind die Prozessoren der Geräte, darüber hinaus nicht auf das Schürfen und die Kryptoalgorithmen optimiert.

Das ist LiquorBot

Die Malware, die die Geräte infiziert ist laut Bitdefender eine „Weiterentwicklung“ der Mirai-Malware. Im Unterschied dazu nutzten die Entwickler jedoch die Programmiersprache GO.

Folgende Sicherheitslücken werden von der Malware aktiv ausgenutzt:

• CVE-2015-2051,
• CVE-2016-1555,
• CVE-2016-6277,
• CVE-2018-17173,
• CVE-2017-6884,
• CVE-2018-10562,
• CVE-2017-6077,
• CVE-2017-6334,
• CVE-2016-5679,
• CVE-2018-9285,
• CVE-2013-3568 und
• CVE-2019-12780.

Auch nutzt die Malware bislang eine Liste von 82 Kombinationen bestehend aus Nutzername und Passwort. Die stellen viele Anbieter in Smart-Devices als Standard ein. Damit wird versucht, die Geräte über eine SSH-Verbindung zu kapern.

Betroffen sind von der Malware Geräte mit ARM, ARM64, x86, x64, und MIPS Prozessoren.

Kryptoschürfen vergebliche Liebesmüh

Nun beschreibt Catalin Cimpanu für ZDnet, dass in der Vergangenheit schon einige Botnetzwerke den Versuch unternahmen, Kryptowährungen zu schürfen. Allerdings mussten die Hacker hinter den Netzwerken meist binnen einiger Wochen einsehen, dass es keine gute Idee war, die Geräte dafür zu zweckentfremden. Sie boten einfach nicht die Ressourcen, um in absehbarer Zeit irgendwelche Erlöse zu erzielen.

Der Beitrag LiquorBot: Ist der Router zu schwach, ist der Hacker zu blöd erschien zuerst auf Macnotes.de.

Kryptokrieg mit dem FBI, Streit um die Entschlüsselung beschlagnahmter iPhones: Apple ist nicht nur für seine sture Verweigerung bei der Zusammenarbeit mit Ermittlungsbehörden bekannt. Immer wieder wird auch von Fällen berichtet, in denen Cupertino äußerst kooperativ bei der Verbrechensbekämpfung mithilft, so wie bei der Fahndung nach Peter Levashov.

Der russische Cybercrime-Gangster galt als einer der weltweit zehn aktivsten Spam-Versender. Außerdem betrieb er ein umfangreiches Botnetz, das er anderen Kriminellen für ihre Straftaten zur Verfügung stellte.

Verhaftung in Barcelona

Die Ermittlungsbehörden beobachteten Peter Levashov und dessen Onlineaktivität über längere Zeit, verfolgten Chat-Unterhaltungen und Zahlungsvorgänge, wie aus diesem Bericht hervorgeht. Dabei half ihnen ab einem bestimmten Zeitpunkt Apple, als nämlich bekannt wurde, dass Levashov für Teile seiner Aktivitäten eine Apple-ID nutzte.

Wie genau Apple aktiv wurde, um den Ermittlern zu helfen, ist nicht bekannt.

Cupertino kommentiert den Vorgang auch nicht weiter.

Schließlich erfuhren die Ermittler, dass Levashov Russland verlassen würde, wo er für sie unerreichbar war. Während einer Ferienreise ins spanische Barcelona klickten schließlich die Handschellen.

Nun soll er vor ein US-Bundesgericht gebracht werden.

Der Beitrag Apple hilft bei Cybercrime-Ermittlung: Spam-König kommt in den USA vor Gericht erschien zuerst auf Macnotes.de.

Einige der Aussagen über die Android-Sicherheitslücke sind eher theoretischer Natur, solange unklar ist, ob Hacker seit der Veröffentlichung von Android 1.6 denselben Wissensstand erlangen konnten wie Bluebox Security aus San Francisco.

System-Fehler

Das Datensicherheits-Unternehmen fand eine gravierende Lücke, die als „Fehler im System“ bezeichnet werden muss. Offenbar sind Veränderungen am APK-Code von Apps möglich, da das System nicht ganz ausgereift scheint was die Verifikation und Installation von Apps angeht.

Unkontrollierbarer Schaden

Sollten Hacker von diesem Eingangstor erfahren und sich die Update-Mentalität im Android-Umfeld nicht durch Zwangsmaßnahmen verbessern, droht mittelfristig ein Desaster. Vor allem Geräte, die nicht mehr aktualisiert werden können stellen ein hohes Sicherheitsrisko dar.

„A device affected by this exploit could …become a part of a botnet, eavesdrop with the microphone, export your data to a third party, encrypt your data and hold it hostage, use your device as a stepping stone to another network, attack your connected PC, send premium SMS messages, perform a DDoS attack against a target, or wipe your device.“
Bluebox Security

Riesiges Ausmaß

Die Sicherheitslücke gibt es seit etwa vier Jahren, seit der Veröffentlichung von Android 1.6 „Donut“. Alle neueren Versionen von Eclair über Froyo, Gingerbread, Honeycomb, Ice Cream Sandwich und Jelly Bean sind ebenfalls betroffen.

Falscher Zwilling

Apps von einigen VPN-Anbietern wie Cisco oder Installer-Anwendungen von Smartphone- oder Tablet-Herstellern wie HTC, Samsung, Motorola oder LG haben besondere Systembefugnisse. Eine Malware, die sich auf „einfache“ Weise als eine dieser Apps ausgibt, ohne dass irgendein Mechanismus im System dies merken „kann“, würde sofort das ganze Gerät und alle Daten darauf manipulieren, kompromittieren und ausspähen können. Richtig programmiert könnten Hacker Anrufe aufzeichnen, die Kamera der Geräte fernsteuern und wegen des Always-on-Status der Geräte unbemerkt vom Nutzer alle Daten jederzeit und überall hin versenden.

900 Millionen Geräte

Bluebox Labs geht davon aus, dass weltweit über 900 Millionen Android-Geräte unmittelbar mit einem Firmware-Update ausgestattet werden müssten, um Schaden abzuwenden.

Immense Versäumnisse

Bluebox hat das Vorhandensein dieser Sicherheitslücke bereits im Februar 2013 Google und weiteren Android-Geräte-Herstellern gemeldet. Die Mitglieder der sogenannten Open Handset Alliance wurden darüber unterrichtet.

Google selbst hat bislang kein Statement abgegeben. Bei Samsung heißt es, dass man „ein“ Smartphone bereits mit einer Art „Patch“ versehen habe – es handelt sich um das Galaxy S4. Alle übrigen Geräte sind demnach weiterhin kompromittierbar.

Quelle: Bluebox Labs, via AppleInsider, engl.

Der Beitrag Riesige Android-Sicherheitslücke betrifft 99% aller Devices erschien zuerst auf Macnotes.de.

Wieder mehr Infizierungen?

Erst war es Symantec, zum Schluss Kaspersky Lab – die Anbieter von Virensoftware haben sich mit Ziffern über den Niedergang und dem Befall von Macs mit der Malware Flashback gegenseitig übertroffen. Vor nicht einmal zwei Wochen sollen es „nur“ noch 30.000 infizierte Rechner gewesen sein.

Neuste Auswertungen zum Trojaner-Befall von Dr. Web haben die Kollegen von Mac Life dazu veranlasst zu urteilen, dass die Gefahr für OS-X-Nutzer wieder größer geworden sei. Tatsächlich aber hat Dr. Web vor allem am 13. April und im Zeitraum vom 13ten bis zum 26ten April Messungen angestellt, über die Aktivität des Trojaners. Demnach sollen in besagtem Zeitraum knapp 100.000 Anfragen von Macs an vermeintliche Host-Adressen geschickt worden sein, die mit der Malware in Verbindung stehen sollen. Dabei sollen knapp 30.000 Verbindungen zu besagten Servern am 13. April ausgesandt worden sein. Dies deckt sich auch mit den Zahlen, die Kaspersky Mitte April auf einer Pressekonferenz bekanntgab. Von angeblich einer halben Million infizierter Macs, wie auf Mac Life zu lesen ist, steht in dem verlinkten Beitrag bei Dr. Web allerdings nichts.

Der Beitrag Flashback-Trojaner: Wird die Gefahr für Macs wieder größer? erschien zuerst auf Macnotes.de.

Ende Oktober 2010 hat Steve Jobs angekündigt, dass Java nicht mehr in zukünftigen Betriebssystemen von Apple vorinstalliert sein wird, im November folgte der Übergang der OS-X-Runtime in eine freie Lizenz, die eine grundsätzliche Weiterentwicklung zumindest einfacher macht.

Nun ist Oracle den ersten Schritt in Richtung von-Apple-unabhängige Java-Runtime gegangen und hat Java-Entwickler-Tools veröffentlicht. Es handelt sich dabei um Java SE 7 Update 4 und JavaFX 2.1. Neu ist, dass Oracle das Ganze auch für Mac OS X anbietet, wie aus der Pressemitteilung hervorgeht. Die Runtime, die für Endanwender gedacht ist und Java-Programme ausführt, soll später in diesem Jahr veröffentlicht werden.

Das zugrundeliegende Problem war, dass Apple immer eine (oder mehrere) Versionen hinterher hinkte, wenn es um die Java-Runtime für Mac OS X ging. Grund hierfür ist eine eigene Implementierung der Runtime, die an die Gegebenheiten des Systems angepasst wurde. Dass es sich bei dieser Methode nicht unbedingt um die aller beste handelt, zeigte zuletzt der Flashback-Trojaner, der zu Spitzenzeiten über eine halbe Million Macs infizierte. Dank Updates, die zum Einen die ausgenutzte Sicherheitslücke schlossen und zum Anderen den Trojaner vom System entfernten, sind es jetzt deutlich weniger geworden, aber 100 000 wurden Anfang der Woche noch immer gezählt.

Der Beitrag Oracle veröffentlicht Java-Entwickler-Kits für OS X erschien zuerst auf Macnotes.de.

Als skeptischer und kritischer Beobachter, müsste man meinen, dass derzeit absichtlich sehr viel über die Schadsoftware Flashback und Apples Macs berichtet wird. Gestern waren es „nur“ noch 140.000 Rechner, die befallen gewesen sein sollen, heute sind es dann nur noch 30.000. Während gestern Symantec die Botschaft verkündete, anfänglich auch mal Sophos von 600.000 Rechnern sprach, ist es nun die Firma Kaspersky, die auf das Schrumpfen der Gefahr hinweist.

Pressekonferenz

Kaspersky hatte zu dem Thema extra eine Pressekonferenz einberufen. Die wichtigste Meldung war, das Botnetz wird kleiner. Es sollen nur noch rund 30.000 Rechner aktiv sein. Die Aktivität eines Botnetz sagt aber nichts über die tatsächliche Zahl an Infektionen aus. Zumindest stehen diese Dinge nicht in direkter Korrelation. Denkbar ist, dass die Betreiber, von denen man immer noch nicht weiß, wer sie sind, die Aktivitäten zurückgefahren haben. Die Wahrheit liegt sicherlich irgendwo dazwischen oder vielleicht sogar näher auf der Seite der Virenhersteller, die sich zu dem Thema geäußert haben.

Kaspersky warnte zudem davor, dass die Gefahren für Mac-User größer werden, weil auch der Marktanteil der Plattform zunimmt und das Begehrlichkeiten weckt; eine Weisheit, die sicherlich niemand exklusiv hat, aber vom Kaspersky-Mitarbeiter Kurt Baumgartner auch in einem Blog-Beitrag noch einmal festgehalten wurde.

WordPress ist Schuld?

Beinahe untergegangen ist aber der Hinweis, dass Kasperky den Verursacher, bzw. den Ausgangspunkt der ganzen Flashback-Epidemie in einer WordPress-Sicherheitslücke sieht. Mac-User, die vermeintlich vertrauenswürdige Webseiten besuchten, hätten sich darüber eventuell die Schadsoftware eingefangen. Die anfängliche Berichterstattung über Flashback hatte ja vor allem Java und OS X in den Fokus gerückt.

Der Beitrag Flashback: Nur noch 30.000 Macs infiziert, Botnetz wird kleiner, WordPress war Schuld erschien zuerst auf Macnotes.de.

Wie die Kollegen von gizmodo (engl.) schreiben, soll derzeit eine schadhafte „Angry Birds Space“-App für Android im Umlauf sein. Wie die Sicherheitsexperten von Sophos informieren, installiert die App schädliche Inhalte ins Smartphone, wenn sie einmal heruntergeladen wurde.

Um nicht in die Malware-Falle zu tappen, wird empfohlen, vor dem Download einer App den Entwickler zu prüfen. Wer die „Angry Birds Space“-App bereits für sein Android-Smartphone heruntergeladen hat, sollte nachsehen, ob er sich die richtige Version heruntergeladen hat. Falls nicht, sollte man die App löschen und erneut installieren. Vorab sollte allerdings ein Backup wichtiger Daten durchgeführt werden.

Keine Panik?

Der Schadecode selbst ist in zwei JPEG-Bilddateien hinterlegt. Sobald man die App installiert hat, wird weiterer Code auf das Smartphone heruntergeladen. Sobald dies geschehen ist, haben Hacker das eigene Smartphone als Teil eines Botnetzwerkes eingerichtet.

Nur außerhalb von Google Play

Sorgen machen müssen sich offenbar aber nur diejenigen Nutzer, die ihre „Angry Birds Space“-App nicht über den offiziellen Android Market (Google Play) heruntergeladen haben, sondern eventuell über einen fremden Marktplatz. Einen solchen bietet beispielsweise Amazon an. Doch es gibt darüber hinaus noch viele kleinere Umschlagplätze für Android-Apps. Welche davon die mit Schadsoftware ausgestattete Fake-App beherbergen oder beherbergt haben, ist unklar.

Angry Birds Space ist seit Ende März verfügbar. Erst vor kurzem haben wir über den Zeichentrickfilm zum neuen Titel berichtet, der die Hintergründe des neuen Angry-Birds-Abenteuers beleuchtet.

Der Beitrag Angry Birds Space: Fake-Android-App installiert Malware auf dem Smartphone erschien zuerst auf Macnotes.de.

In einem Support-Dokument hat Apple angekündigt, dass man um den Flashback-Trojaner weiß und an einem Tool für dessen Entfernung arbeitet. Wer darauf nicht warten möchte, kann sich entweder mit Tools von Kaspersky oder F-Secure behelfen, mit denen ein Ausfindigmachen und das Entfernen des Trojaners bereits jetzt möglich ist.

Der russische Sicherheitsdienstleister Kaspersky hat dafür eine Webseite online gestellt, auf der überprüft werden kann, ob der eigene Rechner vom Trojaner heimgesucht wurde. Im Weblog-Eintrag wird zudem erklärt, dass es ein kostenloses Programm zur Entfernung gibt. Ferner ist auch die Software Kaspersky Anti-Virus 2011 für den Mac in der Lage, den Schädling zu entfernen, selbst die Testversion könne hierfür verwendet werden.

F-Secure hat es mit einem Script für OS X gelöst. Dieses muss entpackt und aufgerufen werden. Anschließend soll der Anwender den Anweisungen auf dem Bildschirm folgen. Das Script legt ein Logfile an und im Infektionsfall eine Quarantäne, die per verschlüsseltem ZIP-File realisiert wird.

Der Flashback-Trojaner hat sich seit Anfang April ausgebreitet und soll inzwischen 670 000 Rechner in sein Botnetz integriert haben. Mehr als 98% dieser Computer seien Macs, dies stelle die größte Infektion von Macs dar, die es jemals gegeben hat, berichtet Kaspersky.

Der Beitrag Flashback-Trojaner: Während Apple Removal-Tool verspricht, liefern Kaspersky und F-Secure erschien zuerst auf Macnotes.de.

Hierzulande befinden sich Internetprovider in der glücklichen Lage, nicht als Mitstörer für Urheberrechtsverletzungen seiner Kunden in die Mangel genommen zu werden. Wie berichtet wird (vgl. GigaOM, engl.), soll sich das in Russland ändern. Aus dem Innenministerium kommt ein Gesetzesentwurf, der den Netzbetreiber beim Austausch illegaler Inhalte zur Verantwortung ziehen kann.

Russische Internetprovider als Filesharer

Wie Seralinov Jannat vom russischen Innenministerium gegenüber Gazeta.ru bekannt gab, soll der Hintergrund aber nicht jener sein, dass Anwender sich die Daten selbst im Internet suchen. Vielmehr handelt es sich um „lokale“ Netzwerke, auf die nur Kunden eines Internetproviders zugreifen können. Darin werden überwiegend illegale Inhalte wie urheberrechtlich geschützte Musik, Software und Filme getauscht; ISPs sollen diesen „Dienst“ als Service verkaufen und damit Kunden anlocken und an sich binden.

Die Regierung soll bis Ende des Monats über den Entwurf diskutiert haben, noch in diesem Jahr könnte das Gesetz dann in Kraft treten.

Auch wenn der Hintergrund ein anderer ist als in anderen Ländern, ist das Vorgehen ein deutliches Signal. So fällt Russland immer wieder auf, wenn es darum geht, wer Botnetze betreibt (vgl. Golem vom 21.03.2012), oder wo Zombie-Rechner stehen, die beispielsweise Spam verschicken, oder als Proxy-Server für Hacker dienen (vgl. Hackangriff auf Westermann-Verlag bei c’t am 08.07.2011). Mittelfristig scheint der Staat zwischen Europa und Asien von seinem Ruf als „gesetzloses Hacker-Paradies“ abrücken zu wollen.

Der Beitrag Urheberrecht: Russische Internet-Provider sollen für ihre Filesharing-Netze haftbar gemacht werden erschien zuerst auf Macnotes.de.

Am Dienstag hatte Apple bereits das Java-Update für OS X 2012-001 veröffentlicht. Es patchte zahlreiche Lücken in Java SE 1.6.0_29, unter anderem auch jene, die die neuste Version des Flashback-Trojaners ermöglichte. Dieser Trojaner hat es geschafft, binnen kürzester Zeit ein Botnetz von 600 000 infizierten Macs aufzubauen.

Fraglich ist allerdings, wozu das neue Java-Update dient, das seit gestern Abend via Softwareaktualisierung angeboten wird. Das verlinkte Support-Dokument ist jedenfalls dasselbe wie das von Dienstag, dort ist auch noch vom Update 2012-001 zu lesen. Denkbar wäre immerhin, dass sich ein anderer Fehler in das ursprüngliche Paket eingeschlichen hat, das beispielsweise die Ausführung von „harmlosen“ Java-Programmen verhinderte.

Auf der Download-Webseite im Supportbereich von Apple hat sich jedenfalls nicht viel getan: Das Datum wurde auf dem 3. April belassen, nur aus der 001 wurde eine 002. Auch die Dateigrößen unterscheiden sich nicht, für OS X Lion müssen 66,9 und für Mac OS X 10.6 Snow Leopard 79,7 MB heruntergeladen werden. Obwohl nicht im Detail bekannt ist, was sich diesmal geändert hat, sollten Anwender das Update vorsichtshalber einspielen – vor allem dann, wenn die Installation der letzten Java-Aktualisierung noch aussteht.

Für die Installation wird kein Neustart des gesamten Computers benötigt, Apple weist aber darauf hin, dass vor der Installation alle Webbrowser und Java-Programme geschlossen werden müssen. Das Update am Dienstag hat gezeigt, dass zumindest das Schließen von Browsern nicht notwendig ist, es sei denn, es sind Webseiten geöffnet, auf denen Java-Applets eingebettet sind. Um das Beenden laufender Java-Programme kommt man aber nicht herum.

Der Beitrag Flashback-Trojaner: Java für OS X 2012-002 erschienen erschien zuerst auf Macnotes.de.