Bitdefender rät zur Vorsicht: Neue iPhone 6s-Masche infiziert deutsche Nutzer mit Andromeda

1

Sie warten schon mit Spannung auf das neue iPhone? Dann seien Sie besonders auf der Hut vor Fake-E-Mails, die bereits jetzt einen Blick auf oder gar Rabatte für das neue Smartphone von Apple anbieten. Wie Sicherheitsspezialist Bitdefender herausfand, zielt eine neue Spam-Kampagne insbesondere auf neugierige deutsche Nutzer und installiert das Andromeda-Botnet auf deren Rechnern, was weiteren Spam oder Malware zur Folge hat.

Die sehr einfach gehaltene E-Mail enthält nur das Schlagwort “iPhone 6s” und eine angehängte Zip-Datei, die darauf wartet, von neugierigen Nutzern geöffnet zu werden. Um höhere Glaubwürdigkeit vorzutäuschen, ist die Nachricht außerdem mit der typischen “Von meinem iPhone gesendet”-Signatur unterschrieben.

1
Abbildung 1. Die Spam-Mail

Sobald der Benutzer den Anhang herunterlädt, aktiviert sich ein selbstausführender JavaScript Code. Gleichzeitig wird im Browser eine Hotelreservierung als Decoy-PDF geöffnet – also als eine Ablenkung, die allerdings nichts mit dem iPhone 6s zu tun hat. Dennoch entsteht so der Eindruck, dass es sich hierbei um den Inhalt des soeben gespeicherten Zip-Archivs handelt – der Verdacht einer infizierten Datei drängt sich nicht sofort auf.

„Dieser Trick ist nicht neu, aber wir haben ihn auch schon ziemlich lange nicht mehr gesehen,” erklärt Bogdan Botezatu, Senior E-Threat Analyst bei Bitdefender.

2
Abbildung 2. Die gefälschte Hotelreservierung

Parallel zur Anzeige der PDF-Reservierung wird heimlich eine .exe-Datei auf den Rechner installiert. Hierbei handelt es sich um den eigentlichen Downloader, der im Anschluss das Andromeda Botnet überträgt.

3 4
Abbildungen 3 und 4. Schädlicher JavaScript Code lädt heimlich Andromeda herunter

Über Andromeda

Andromeda ist ein Botnet, das erstmals 2011 entdeckt wurde. Sein Hauptzweck dient der Einrichtung eines stabilen Backdoors, durch das weitere Schadsoftware auf den Rechner installiert werden kann. In der Vergangenheit wurde Andromeda etwa genutzt, um Simda einzuspeisen, eine Malware zum Abgreifen von Zugangsdaten mit über 770.000 gemeldeten Fällen. Auch GamaPOS, ein RAM-Scraper der hauptsächlich Kreditkartennummern von Kassensystemen stehlen soll, fand erst kürzlich über das Botnet seinen Weg auf zahlreiche Rechner.

„Das Botnet ist äußerst flexibel und anpassungsfähig. Es basiert auf Modulen, also etwa Keyloggern, Ausspähung von persönlichen Daten, CKS4, Proxy und Rootkits“, fügt Bogdan Botezatu hinzu. „Die Kommunikation mit den C&C-Servern wird verschlüsselt, um eine Verfolgung oder ein Entdecken zu verhindern. Außerdem installiert Andromeda nur Kopien einzelner Dateikomponenten, statt ganze Kopien seiner selbst, was es nochmal schwieriger macht, dem Schädlich auf die Spur zu kommen.“

5
Figure 5. Liste der C&C-Server

Den Antispam-Analysten von Bitdefender zufolge befinden sich die Spamserver in Frankreich, Italien, Polen, Korea, der Tschechei, Deutschland und Mexiko.


Prävention
Herauszufinden, ob ein Computer Teil eines Botnets ist, ist nicht einfach. Denn einmal installiert, versteckt sich Andromeda im Hintergrund, produziert keine Fehlermeldungen oder Pop-Ups und ruft in der Regel auch nicht das Antiviren-Programm auf den Plan.

Darum ist Vorsorge der Schlüssel zum Erfolg. Pauschal die Ausführung von JavaScripts zu verbieten greift zu kurz, da viele Browser dann nichtmehr ordnungsgemäß arbeiten. Bitdefender rät stattdessen zu besonderer Vorsicht im Umgang mit Nachrichten und insbesondere potenziell infizierten Dateiformaten wie PDF, XLS oder DOC. Außerdem reduziert ein Update des Betriebssystems und der Antiviren-Software das Risiko, einem Botnet zum Opfer zu fallen.

Dieser Artikel basiert auf den technischen Angaben von Bitdefender Senior Antispam Researcher Adrian Miron, sowie den Malware Reasearchers Alexandru Maximinciuc und Cristina Vatamanu.