Lesetipps: Das Wikipedia Versprechen, Daten von Parla, Android-Spyware

Artikel ansehen

Thema Android-Spyware:

Die Rogue-Malware-Familie bedient sich der Dienste der Firebase-Plattform, um ihre bösartigen Absichten zu verschleiern und sich als legitimer Google-Dienst auszugeben.

Rogue nutzt die Dienste von Firebase als C&C-Server (Command and Control), was bedeutet, dass alle Befehle, die die Malware steuern, und alle von der Malware gestohlenen Informationen ĂĽber die Firebase-Infrastruktur ĂĽbermittelt werden.

Google Firebase umfasst ein Dutzend Dienste, die Entwicklern bei der Erstellung von mobilen und Web-Anwendungen helfen. Die Rogue-Malware nutzt die folgenden:

  • “Cloud Messaging” um Kommandos von den C&C-Servern zu empfangen
  • “Realtime Database” um gestohlene Daten hochzuladen vom infizierten Gerät
  • “Cloud Firestore” File-Server fĂĽr die gestohlenen Daten

Es gibt mehrere Accounts von Firebase-Konten, die im Code der Rogue-Malware versteckt sind:

  • GUARDIAO
  • PHOENIX
  • SPITFIRE
  • AVIRTEK
  • HAWKSHAW

Um manuell feststellen zu können, ob man mit der Malware „Rogue“ infiziert ist, kann man in seinen Internet-Verbindungsprotokollen recherchieren, ob sich das Gerät mit folgenden URLs verbindet oder verbunden hatte:

  • https://bald-panel.firebaseio.com
  • https://hawkshaw-cae48.firebaseio.com
  • https://spitfirepanel.firebaseio.com
  • https://phoenix-panel.firebaseio.com

Diese vier Domains sind definitiv Adressen, unter denen sich die Rogue-Malware mit dem C&C-Server innerhalb der Google Firebase-Infrastruktur verbindet, um Kommandos anzunehmen bzw. um die gestohlenen Daten hochzuladen!! :sunglasses:

1 Like