Am 13. Oktober 2023 erfuhr das Cloudforce One Threat Operations Team von Cloudflare von einer Website, auf der eine Google Android-Anwendung (APK) gehostet wurde, die die legitime Anwendung RedAlert - Rocket Alerts imitierte. Seit dem Beginn der Angriffe der Hamas am 7. Oktober 2023 wurden mehr als 5.000 Raketen auf Israel abgefeuert. Die Anwendung RedAlert - Rocket Alerts, entwickelt von Elad Nava, ermöglicht es Einzelpersonen, rechtzeitige und präzise Benachrichtigungen über bevorstehende Luftangriffe zu erhalten. Viele Menschen in Israel sind auf diese Benachrichtigungen angewiesen, um Schutz zu suchen. Dieser Dienst ist angesichts der jüngsten Eskalationen in der Region zunehmend wichtig geworden.
Kürzlich hat die pro-palästinensische Hacktivisten-Gruppe AnonGhost eine Schwachstelle in der Anwendung "Red Alert: Israel" von Kobi Snir ausgenutzt, wie in diesem Artikel (https://cybernews.com/cyber-war/israel-redalert-breached-anonghost-hamas/) berichtet wurde. Diese Ausnutzung ermöglichte es ihnen, Anfragen abzufangen, Server und APIs freizulegen und gefälschte Warnmeldungen an einige App-Nutzer zu senden, darunter auch eine Meldung über eine "nukleare Bombe". AnonGhost gab außerdem an, auch andere Raketenwarnanwendungen angegriffen zu haben, darunter auch RedAlert von Elad Nava. Bis zum 11. Oktober 2023 soll die RedAlert-App Berichten zufolge normal funktioniert haben.
In den letzten beiden Tagen wurde eine neue bösartige Website beworben, auf der der Download der bekannten Open-Source-Anwendung RedAlert von Elad Nava (https://github.com/eladnava/redalert-android) angeboten wird. Die Imitation von Domains bleibt ein beliebter Angriffsvektor für Angreifer, da die legitime Website für die Anwendung sich von der bösartigen Website nur durch einen Buchstaben unterscheidet. Darüber hinaus setzen Bedrohungsakteure weiterhin Open-Source-Code ein und verteilen modifizierte, schädliche Versionen an ahnungslose Benutzer.
Die bösartige Website beherbergte Links zur iOS- und zur Android-Version der RedAlert-App. Während der Link zum Apple App Store auf die legitime Version der RedAlert-App von Elad Nava verwies, lud der Link, der angeblich auf die Android-Version im Play Store verweist, direkt eine bösartige APK-Datei herunter. Dieser Angriff verdeutlicht die Gefahr des Sideloading von Anwendungen direkt aus dem Internet im Gegensatz zur Installation von Anwendungen aus dem genehmigten App Store.
Die bösartige RedAlert-Version imitiert die legitime Raketenwarnanwendung, sammelt jedoch gleichzeitig sensible Benutzerdaten. Die von der bösartigen App angeforderten zusätzlichen Berechtigungen umfassen den Zugriff auf Kontakte, Anruflisten, SMS, Kontoinformationen sowie eine Übersicht über alle installierten Apps.
Die Website, die die bösartige Datei gehostet hat, wurde am 12. Oktober 2023 erstellt und ist inzwischen offline. Nur Benutzer, die die Android-Version der App von dieser speziellen Website installiert haben, sind betroffen und werden dringend aufgefordert, die App zu löschen. Benutzer können feststellen, ob sie die bösartige Version installiert haben, indem sie die erteilten Berechtigungen für die RedAlert-App überprüfen. Wenn Benutzer sich unsicher sind, ob sie die bösartige Version installiert haben, können sie die RedAlert-Anwendungen löschen und die legitime Version direkt im Play Store erneut installieren.
Die bösartige Android Package Kit (APK)-Datei wird von einem Benutzer installiert, wenn er auf die Schaltfläche "Google Play" auf der gefälschten RedAlert-Website klickt. Sobald darauf geklickt wird, lädt der Benutzer die App direkt von der gefälschten Website herunter. Der SHA-256-Hash der APK lautet 5087a896360f5d99fbf4eb859c824d19eb6fa358387bf6c2c5e836f7927921c5.
Eine schnelle Analyse der AndroidManifest.xml-Datei zeigt mehrere Unterschiede im Vergleich zur legitimen Open-Source-RedAlert-Anwendung. Am bemerkenswertesten sind die zusätzlichen Berechtigungen, die benötigt werden, um Informationen über das Opfer zu sammeln. Die hinzugefügten Berechtigungen sind wie folgt aufgelistet:
Diese zusätzlichen Berechtigungen weisen auf die schädlichen Absichten der App hin, da sie persönliche und sensible Informationen des Benutzers sammeln und potenziell missbrauchen können. Benutzer sollten äußerst vorsichtig sein, wenn sie Anwendungen von nicht vertrauenswürdigen Quellen herunterladen und immer die angeforderten Berechtigungen überprüfen, um ihre Privatsphäre zu schützen.
Der Dienst wird betrieben, um Daten von den Mobiltelefonen der Opfer zu sammeln und auf den sicheren Server des Angreifers hochzuladen. Die gesammelten Daten sind umfassend und umfassen:
Diese Datensammlung ist äußerst invasiv und stellt eine schwerwiegende Verletzung der Privatsphäre dar. Es ist unerlässlich, dass Benutzer ihre Geräte vor solchen Bedrohungen schützen, indem sie sicherstellen, dass sie nur vertrauenswürdige Anwendungen installieren und Sicherheitspraktiken wie das regelmäßige Aktualisieren von Software und das Überprüfen von Berechtigungen befolgen. Bei einem Verdacht auf einen solchen Angriff sollten die Opfer umgehend Maßnahmen ergreifen, um ihre Sicherheit wiederherzustellen und die Verbreitung ihrer persönlichen Daten zu verhindern.
Die Daten werden durch eine Connector-Klasse, die vom Angreifer geschrieben wurde, hochgeladen. Der Connector ist dafür verantwortlich, die gestohlenen Daten zu verschlüsseln und sie auf den HTTP-Server hochzuladen. In diesem Beispiel werden Dateien mit AES im CBC-Modus mit PKCS5-Padding verschlüsselt. Die Schlüssel werden zufällig generiert und den gepackten Daten angehängt. Die Schlüssel selbst werden jedoch mit RSA verschlüsselt, wobei ein öffentlicher Schlüssel in der bösartigen App enthalten ist. Aufgrund dessen wird jeder, der in der Lage ist, die gestohlenen Daten abzufangen, sie ohne den privaten Schlüssel des Angreifers nicht entschlüsseln können.
Diese Methode der Datenverschlüsselung und -übertragung ist typisch für fortschrittliche Bedrohungen, die darauf abzielen, die Integrität und Vertraulichkeit der gestohlenen Daten zu gewährleisten. Der Einsatz von AES für die Dateiverschlüsselung und RSA für die Verschlüsselung der AES-Schlüssel ist eine gängige Praxis, um eine sichere Übertragung zu gewährleisten und den Zugriff auf die gestohlenen Informationen zu erschweren.
Die Sicherheitsgemeinschaft ist ständig bemüht, solche fortschrittlichen Angriffsmethoden zu erkennen und Gegenmaßnahmen zu entwickeln, um die Auswirkungen auf die Benutzer zu minimieren. Benutzer sollten jedoch proaktiv sein und bewährte Sicherheitspraktiken anwenden, um das Risiko von Datenverlust oder Datenschutzverletzungen zu minimieren.
Um Entdeckung zu vermeiden, hat der Angreifer Anti-Analyse-Funktionen in die Anwendung integriert, die beim Start der App ausgeführt werden können. Die verwendeten Methoden für die Anti-Analyse umfassen Anti-Debugging, Anti-Emulation und Anti-Test-Operationen.
Diese Anti-Analyse-Maßnahmen dienen dazu, die Entdeckung und Analyse der schädlichen Anwendung durch Sicherheitsforscher und Sicherheitssoftware zu erschweren. Sie sind Teil der Bemühungen von Angreifern, ihre schädlichen Aktivitäten zu verbergen und die Wahrscheinlichkeit einer erfolgreichen Ausführung zu erhöhen. Sicherheitsprofis setzen Gegenmaßnahmen ein, um diese Techniken zu umgehen und Bedrohungen zu erkennen und zu bekämpfen.
Wenn Sie die RedAlert-Anwendung auf Ihrem Gerät installiert haben, können die zusätzlichen Berechtigungen, die der Angreifer hinzugefügt hat, verwendet werden, um festzustellen, ob Ihr Gerät kompromittiert wurde. Das Vorhandensein der folgenden Berechtigungen in der RedAlert-App (unabhängig davon, ob sie aktiviert sind oder nicht), würde auf eine Kompromittierung hinweisen:
Wenn Sie eine RedAlert-App mit diesen zusätzlichen Berechtigungen bemerken, sollten Sie dringend Maßnahmen ergreifen, um Ihr Gerät auf mögliche Kompromittierungen zu überprüfen. Es wird empfohlen, die verdächtige Anwendung zu deinstallieren und die legitime Version aus dem offiziellen App Store neu zu installieren. Gleichzeitig sollten Sie auch Ihre Sicherheitssoftware aktualisieren und Ihr Gerät auf schädliche Aktivitäten überprüfen.
Am 13. Oktober 2023 erfuhr das Cloudforce One Threat Operations Team von Cloudflare von einer Website, auf der eine Google Android-Anwendung (APK) gehostet wurde, die die legitime Anwendung RedAlert - Rocket Alerts imitierte. Seit dem Beginn der Angriffe der Hamas am 7. Oktober 2023 wurden mehr als 5.000 Raketen auf Israel abgefeuert. Die Anwendung RedAlert - Rocket Alerts, entwickelt von Elad Nava, ermöglicht es Einzelpersonen, rechtzeitige und präzise Benachrichtigungen über bevorstehende Luftangriffe zu erhalten. Viele Menschen in Israel sind auf diese Benachrichtigungen angewiesen, um Schutz zu suchen. Dieser Dienst ist angesichts der jüngsten Eskalationen in der Region zunehmend wichtig geworden.
Kürzlich hat die pro-palästinensische Hacktivisten-Gruppe AnonGhost eine Schwachstelle in der Anwendung "Red Alert: Israel" von Kobi Snir ausgenutzt, wie in diesem Artikel (https://cybernews.com/cyber-war/israel-redalert-breached-anonghost-hamas/) berichtet wurde. Diese Ausnutzung ermöglichte es ihnen, Anfragen abzufangen, Server und APIs freizulegen und gefälschte Warnmeldungen an einige App-Nutzer zu senden, darunter auch eine Meldung über eine "nukleare Bombe". AnonGhost gab außerdem an, auch andere Raketenwarnanwendungen angegriffen zu haben, darunter auch RedAlert von Elad Nava. Bis zum 11. Oktober 2023 soll die RedAlert-App Berichten zufolge normal funktioniert haben.
In den letzten beiden Tagen wurde eine neue bösartige Website beworben, auf der der Download der bekannten Open-Source-Anwendung RedAlert von Elad Nava (https://github.com/eladnava/redalert-android) angeboten wird. Die Imitation von Domains bleibt ein beliebter Angriffsvektor für Angreifer, da die legitime Website für die Anwendung sich von der bösartigen Website nur durch einen Buchstaben unterscheidet. Darüber hinaus setzen Bedrohungsakteure weiterhin Open-Source-Code ein und verteilen modifizierte, schädliche Versionen an ahnungslose Benutzer.
Die bösartige Website beherbergte Links zur iOS- und zur Android-Version der RedAlert-App. Während der Link zum Apple App Store auf die legitime Version der RedAlert-App von Elad Nava verwies, lud der Link, der angeblich auf die Android-Version im Play Store verweist, direkt eine bösartige APK-Datei herunter. Dieser Angriff verdeutlicht die Gefahr des Sideloading von Anwendungen direkt aus dem Internet im Gegensatz zur Installation von Anwendungen aus dem genehmigten App Store.
Die bösartige RedAlert-Version imitiert die legitime Raketenwarnanwendung, sammelt jedoch gleichzeitig sensible Benutzerdaten. Die von der bösartigen App angeforderten zusätzlichen Berechtigungen umfassen den Zugriff auf Kontakte, Anruflisten, SMS, Kontoinformationen sowie eine Übersicht über alle installierten Apps.
Die Website, die die bösartige Datei gehostet hat, wurde am 12. Oktober 2023 erstellt und ist inzwischen offline. Nur Benutzer, die die Android-Version der App von dieser speziellen Website installiert haben, sind betroffen und werden dringend aufgefordert, die App zu löschen. Benutzer können feststellen, ob sie die bösartige Version installiert haben, indem sie die erteilten Berechtigungen für die RedAlert-App überprüfen. Wenn Benutzer sich unsicher sind, ob sie die bösartige Version installiert haben, können sie die RedAlert-Anwendungen löschen und die legitime Version direkt im Play Store erneut installieren.
Die bösartige Android Package Kit (APK)-Datei wird von einem Benutzer installiert, wenn er auf die Schaltfläche "Google Play" auf der gefälschten RedAlert-Website klickt. Sobald darauf geklickt wird, lädt der Benutzer die App direkt von der gefälschten Website herunter. Der SHA-256-Hash der APK lautet 5087a896360f5d99fbf4eb859c824d19eb6fa358387bf6c2c5e836f7927921c5.
Eine schnelle Analyse der AndroidManifest.xml-Datei zeigt mehrere Unterschiede im Vergleich zur legitimen Open-Source-RedAlert-Anwendung. Am bemerkenswertesten sind die zusätzlichen Berechtigungen, die benötigt werden, um Informationen über das Opfer zu sammeln. Die hinzugefügten Berechtigungen sind wie folgt aufgelistet:
Diese zusätzlichen Berechtigungen weisen auf die schädlichen Absichten der App hin, da sie persönliche und sensible Informationen des Benutzers sammeln und potenziell missbrauchen können. Benutzer sollten äußerst vorsichtig sein, wenn sie Anwendungen von nicht vertrauenswürdigen Quellen herunterladen und immer die angeforderten Berechtigungen überprüfen, um ihre Privatsphäre zu schützen.
Der Dienst wird betrieben, um Daten von den Mobiltelefonen der Opfer zu sammeln und auf den sicheren Server des Angreifers hochzuladen. Die gesammelten Daten sind umfassend und umfassen:
Diese Datensammlung ist äußerst invasiv und stellt eine schwerwiegende Verletzung der Privatsphäre dar. Es ist unerlässlich, dass Benutzer ihre Geräte vor solchen Bedrohungen schützen, indem sie sicherstellen, dass sie nur vertrauenswürdige Anwendungen installieren und Sicherheitspraktiken wie das regelmäßige Aktualisieren von Software und das Überprüfen von Berechtigungen befolgen. Bei einem Verdacht auf einen solchen Angriff sollten die Opfer umgehend Maßnahmen ergreifen, um ihre Sicherheit wiederherzustellen und die Verbreitung ihrer persönlichen Daten zu verhindern.
Die Daten werden durch eine Connector-Klasse, die vom Angreifer geschrieben wurde, hochgeladen. Der Connector ist dafür verantwortlich, die gestohlenen Daten zu verschlüsseln und sie auf den HTTP-Server hochzuladen. In diesem Beispiel werden Dateien mit AES im CBC-Modus mit PKCS5-Padding verschlüsselt. Die Schlüssel werden zufällig generiert und den gepackten Daten angehängt. Die Schlüssel selbst werden jedoch mit RSA verschlüsselt, wobei ein öffentlicher Schlüssel in der bösartigen App enthalten ist. Aufgrund dessen wird jeder, der in der Lage ist, die gestohlenen Daten abzufangen, sie ohne den privaten Schlüssel des Angreifers nicht entschlüsseln können.
Diese Methode der Datenverschlüsselung und -übertragung ist typisch für fortschrittliche Bedrohungen, die darauf abzielen, die Integrität und Vertraulichkeit der gestohlenen Daten zu gewährleisten. Der Einsatz von AES für die Dateiverschlüsselung und RSA für die Verschlüsselung der AES-Schlüssel ist eine gängige Praxis, um eine sichere Übertragung zu gewährleisten und den Zugriff auf die gestohlenen Informationen zu erschweren.
Die Sicherheitsgemeinschaft ist ständig bemüht, solche fortschrittlichen Angriffsmethoden zu erkennen und Gegenmaßnahmen zu entwickeln, um die Auswirkungen auf die Benutzer zu minimieren. Benutzer sollten jedoch proaktiv sein und bewährte Sicherheitspraktiken anwenden, um das Risiko von Datenverlust oder Datenschutzverletzungen zu minimieren.
Um Entdeckung zu vermeiden, hat der Angreifer Anti-Analyse-Funktionen in die Anwendung integriert, die beim Start der App ausgeführt werden können. Die verwendeten Methoden für die Anti-Analyse umfassen Anti-Debugging, Anti-Emulation und Anti-Test-Operationen.
Diese Anti-Analyse-Maßnahmen dienen dazu, die Entdeckung und Analyse der schädlichen Anwendung durch Sicherheitsforscher und Sicherheitssoftware zu erschweren. Sie sind Teil der Bemühungen von Angreifern, ihre schädlichen Aktivitäten zu verbergen und die Wahrscheinlichkeit einer erfolgreichen Ausführung zu erhöhen. Sicherheitsprofis setzen Gegenmaßnahmen ein, um diese Techniken zu umgehen und Bedrohungen zu erkennen und zu bekämpfen.
Wenn Sie die RedAlert-Anwendung auf Ihrem Gerät installiert haben, können die zusätzlichen Berechtigungen, die der Angreifer hinzugefügt hat, verwendet werden, um festzustellen, ob Ihr Gerät kompromittiert wurde. Das Vorhandensein der folgenden Berechtigungen in der RedAlert-App (unabhängig davon, ob sie aktiviert sind oder nicht), würde auf eine Kompromittierung hinweisen:
Wenn Sie eine RedAlert-App mit diesen zusätzlichen Berechtigungen bemerken, sollten Sie dringend Maßnahmen ergreifen, um Ihr Gerät auf mögliche Kompromittierungen zu überprüfen. Es wird empfohlen, die verdächtige Anwendung zu deinstallieren und die legitime Version aus dem offiziellen App Store neu zu installieren. Gleichzeitig sollten Sie auch Ihre Sicherheitssoftware aktualisieren und Ihr Gerät auf schädliche Aktivitäten überprüfen.
