Lookout enttarnt Untergrund-Netzwerk auf Hacker-Konferenz Defcon

Operation „Dragon Lady“ deckt russischen Malware-Ring auf

| Redakteur: Peter Schmitz

Cyberkriminelle organisieren ihre Malware-Industrie wie Startups. Mehr als die Hälfte des russischen Schadsoftware-Marktes liegt in den Händen von nur zehn Unternehmen.
Cyberkriminelle organisieren ihre Malware-Industrie wie Startups. Mehr als die Hälfte des russischen Schadsoftware-Marktes liegt in den Händen von nur zehn Unternehmen. (Bild: Lookout)

Lookout hat auf der Hacker-Konferenz Defcon einen Ring aus zehn russischen Malware-Unternehmen enttarnt, die für 60 Prozent des Betrugs mit Premium-SMS verantwortlich sind. Deren hunderte Vertriebspartner verdienen bis zu 12.000 US-Dollar im Monat.

Speziell in Russland boomt das Geschäft mit mobiler Schadsoftware. Die Mehrzahl davon stammt aber von weniger als einem Dutzend gut organisierter russischer Malware-Unternehmen, die Schadsoftware verbreiten und dabei wie Startups arbeiteten. Das ist ein Ergebnis der Operation „Dragon Lady“ des mobilen Sicherheitsexperten Lookout.

Das Unternehmen hat auf der Hacker-Konferenz Defcon die Ergebnisse der seit Dezember 2012 andauernden Beobachtung vorgestellt. So ist ein Netzwerk aus zehn Unternehmen für 60 Prozent des Betrugs mit kostenpflichtigen Premium-SMS in Russland verantwortlich. Der Codename „Dragon Lady“ entstand in Anlehnung an die amerikanischen U2-Aufklärungsflugzeuge, die während des Kalten Krieges die Sowjetunion überwachten.

Partnerprogramme für Malware-Verbreitung

Die zehn Malware-Unternehmen arbeiten mit mehreren tausend Affiliate-Partnern zusammen und statten diese mit den Werkzeugen und dem Know-How für effektive Malware-Kampagnen aus. Um die Verbreitung für ihre Partner so einfach wie möglich zu machen, haben die Malware-Unternehmen eine online verfügbare Do-it-yourself-Plattform entwickelt.

In wenigen Schritten können sich selbst Anfänger ohne technische Vorkenntnisse ihre individuellen Schad-Apps zusammenstellen. Per Baukasten-Prinzip konfigurieren die Affiliate-Partner ihre Malware-Apps so, dass sie wie die neueste Version von Angry Birds oder von Skype aussehen. Sie richten Landing-Pages ein, für die sie auf Twitter oder per Smartphone-Anzeigen Werbung machen.

Die Partner verfügen insgesamt über zehntausende Webseiten, auf denen ihre Malware beworben wird. Insbesondere Twitter nutzen sie intensiv: Von knapp 50.000 Profilen setzten sie insgesamt 250.000 Tweets mit Links zu den schädlichen Apps ab. Diese zielen vor allem auf Russisch sprechende Nutzer ab, die nach kostenlosen Apps, Spielen, Musik oder Pornos suchen. Einige der Affiliate-Partner verdienen Belegen zufolge bis zu 12.000 US-Dollar monatlich an Provisionen.

Guter Kundenservice: Newsletter vom Malware-Entwickler

Während diese Partner den Vertrieb übernehmen, arbeiten die Malware-Unternehmen im Hintergrund. Sie verantworten die technischen Fragen rund um die Entwicklung und Zusammenstellung der Malware, veröffentlichen alle zwei Wochen neuen Code oder hosten die Malware. Zudem informieren sie ihre Partner per Blog-Post oder Newsletter über die neuesten Betrugs-Taktiken oder wie sie sich der Strafverfolgung und Sicherheitsunternehmen entziehen. Einige Malware-Unternehmen haben sogar einen Wettbewerb unter ihren Affiliate-Partnern gestartet und belohnen den umsatzstärksten Partner. Zudem registrieren die Malware-Entwickler auch die Kurzwahlen für den Premium-SMS-Betrug. So kontrollieren sie die Geldflüsse und stellen sicher, nicht von ihren Partner übervorteilt zu werden.

„Seit dem ersten Premium-SMS-Betrug per Schad-App im August 2010 hat sich diese Art von Malware immer weiter verbreitet und wurde auch immer ausgefeilter“, sagt Ryan Smith, Sicherheitsexperte von Lookout, der das Untergrundnetzwerk seit mehr als einem halben Jahr beobachtet. „Aufgrund weniger strenger Regulierungen und dem Boom alternativer App Stores und Foren kommt Premium-SMS-Betrug vor allem in Osteuropa vor. So machen allein diese zehn Malware-Unternehmen 30 Prozent aller dieses Jahr von uns gestoppten Bedrohungen aus – und zwar weltweit“.

Alle Lookout-Nutzer sind vor diesen schädlichen Apps geschützt. Soweit möglich, lässt Lookout auch die Kommando-Server abschalten, um den Malware-Unternehmen das Leben schwerer zu machen. Eine Strafverfolgung gestaltet sich schwierig, nicht zuletzt da rechtliche Grauzonen ausgenutzt werden. So werden rechtliche Hinweise auf Premium-Dienste beispielsweise in langen Texten versteckt oder als weiße Schrift auf weißem Hintergrund angezeigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42250983 / Mobile Security)