Neue Mishing-Kampagnen: Arbeitssuchende im Visier
Mittlerweile sind viele von uns zumindest skeptisch, wenn es darum geht, im Internet Daten preiszugeben. Dennoch finden böswillige Akteure immer wieder Schlupflöcher – Bereiche, in denen wir eher nachlässig werden, unter anderem bei Bewerbungen um einen Arbeitsplatz. Der heutige Arbeitsmarkt ermöglicht es Suchenden, sich per Mausklick oder mit einfachen Formularen auf eine Vielzahl von Stellen zu bewerben und dabei ihren Lebenslauf per Drag-and-Drop einzufügen. Die bequemen Abläufe, unser Vertrauen in Jobbörsen und die Verzweiflung mancher Arbeitssuchender schaffen ein Umfeld, in dem Bewerber leicht ins Visier falscher Personalvermittler geraten können.
Diese Form des Phishings, auch als «Recruitment Scams» oder «Employment Scams» bekannt, verhalf in den letzten Jahren mehreren Betrugskampagnen zum Durchbruch. Den bösartigen Akteuren ist es gelungen, namhafte seriöse Websites wie LinkedIn zu unterwandern, sich dort als Headhunter auszugeben und über Plattformen wie WhatsApp Personen direkt anzusprechen. Dies wird als Mishing-Angriff bezeichnet – was im Wesentlichen einem Phishing-Versuch mit mobilen Endgeräten oder mobilen Nutzern als Zielscheibe entspricht. (Manchmal wird auch von marketing-basierten Phishing-Angriffen gesprochen.)
Die jüngste Mishing-Kampagne, die auf potenzielle Bewerber abzielt, kommt in Form eines Employment Scams daher, bei dem die Zielperson einen gefährlichen Malware-Dropper auf ihr Smartphone herunterladen soll. Dabei wird vorgegeben, dieser Schritt gehöre zum Einstellungsprozess, in Wirklichkeit handelt es sich jedoch um ein getarntes Tool, mit dem bösartige Akteure Schadsoftware auf dem Gerät installieren können. Das Team « zLabs » von Zimperium hat als Nutzdaten eine Variante der Antidot-Malware-Familie mit der Bezeichnung «AppLite» identifiziert. Dieser bedrohliche Banking-Trojaner wurde speziell entwickelt, um Ihre Finanzdaten abzugreifen.
Wie funktioniert ein Banking-Trojaner?
Diese tückische Kategorie von Schadsoftware beschreibt Viren, die nicht nur Betrügern den Fernzugriff auf Ihr Gerät von jedem beliebigen Ort weltweit ermöglichen, sondern auch insbesondere für die Extraktion von Finanzdaten entwickelt wurden und mitunter dazu dienen, über Ihr eigenes Mobiltelefon Gelder von Ihrem Bankkonto zu exfiltrieren.
Zu den wichtigsten Banking-Trojanern der letzten Zeit gehören Anatsa, TrickBot, ZLoader, und Dridex. Einige dieser Banking-Trojaner waren gar in der Lage, riesige Botnetze zu bilden. Diese haben sich als Schadsoftware mit besonderem Schadenspotenzial erwiesen und einige der grössten Malware-Kampagnen aller Zeiten ausgelöst.
Der erste Schritt zur Verbreitung eines Banking-Trojaners besteht darin, ihn direkt auf das Gerät zu bringen. Da Mobilgeräte jedoch mit integrierter Antivirensoftware ausgestattet sind und App-Stores aktiv überwacht werden, ist dies für Hacker eine knifflige Aufgabe. Beim Job-Scamming leitet der Personalvermittler die Zielperson in der Regel auf eine Website, von der sie das Bewerbungspaket direkt herunterladen soll. In anderen Fällen wiederum wird das Virus direkt aus dem App-Store heruntergeladen oder per E-Mail- oder SMS-Anhang verbreitet.
Sobald sie auf dem Gerät angekommen ist, bindet sich die Schadsoftware dort selbst ein. Sie stellt eine Verbindung mit dem Webserver des Angreifers her und sendet Informationen über das Mobiltelefon und die Anwendungen der Zielperson. Versucht diese daraufhin, eine Bankanwendung zu öffnen, überlagert die Schadsoftware die rechtmässige Anwendung mit einem Phishing-Template. Dies funktioniert möglicherweise auch auf bestimmten Websites, die über den Browser aufgerufen werden. Bei diesem Phishing-Template handelt es sich nicht um die offizielle Anwendung oder Website, sondern um eine identische HTML-Seite, die vom Angreifer gehostet wird. Die Anmeldeformulare für E-Mail und Passwort sind in Wirklichkeit Keylogger: Alle eingegebenen Informationen werden direkt an den Server des Angreifers zurückgeschickt.
In manchen Fällen lauern unter dem Overlay Banking-Trojaner, die Remote-Befehle ausführen, mit denen der Angreifer Ihren Bildschirm durch Gesten wie Tippen oder Streichen steuern kann: Er kann sich sogar in Ihrem Bankkonto anmelden und Ihr Geld direkt vor Ihren Augen überweisen.
Die neue Antidot-Variante «AppLite» unterstützt sage und schreibe 171 Finanzanwendungen, darunter Bankinstitute und Krypto-Apps, und das in einer Vielzahl von Sprachen.
Wie Sie sich schützen können
Der Erfolg dieser Malware-Pakete steht und fällt mit zweierlei Dingen: der Sicherheit des Betriebssystems und der Unachtsamkeit der Zielperson.
In Bezug auf Ersteres nutzen AppLite und ähnliche Trojaner zur Verschleierung ihres Codes eine Vielzahl von Schwachstellen im Android-Betriebssystem. Solche Schwachstellen können, sobald sie aufgedeckt wurden, von den Entwicklern gepatcht werden. Die entsprechenden Korrekturen werden dann über das Internet als Update auf Ihr Gerät übertragen. Wenn Sie solche Updates nicht ausführen, erhalten Sie auch diese Patches nicht. Das bedeutet, dass Sie weiterhin angegriffen werden können, und falls das passiert, hat der Angreifer ungehinderten Zugang zu allen Ihren Daten. Das Betriebssystem von Mobiltelefonen sowie alle darauf befindlichen Apps sind also unbedingt auf dem neusten Stand zu halten.
Hoffentlich konnte Sie dieser Beitrag bereits für die Gefahren sensibilisieren, denen Nutzer von Mobiltelefonen im Jahr 2025 ausgesetzt sind. Wenn Sie also in einer besonderen Situation sind, in der Sie Ihre Daten nur allzu leichtfertig preisgeben möchten, sei es bei der Bewerbung um einen Arbeitsplatz, bei der Wohnungssuche oder einfach nur bei einer Umfrage, sollten Sie zunächst kurz durchatmen. Bedenken Sie, wer der Empfänger Ihrer Daten ist und was er alles damit anstellen könnte. Überlegen Sie, wie sicher Ihre Daten in den Händen anderer sind, oder ob Sie nicht vielleicht zu viele Daten preisgeben. Achten Sie darauf, dass Sie Ihre Daten nur an seriöse Unternehmen weitergeben und dabei nur vertrauenswürdige Kanäle nutzen.
Fazit
Hacker werden stets versuchen, Sie in einem unachtsamen Moment zu erwischen. Sei es im Zusammenhang mit Bewerbungen, also einer Situation, in denen wir mit unserem Lebenslauf buchstäblich um uns werfen, oder zu einem anderen Zeitpunkt – vielleicht hat man Ihnen Ihren Traumjob angeboten, oder Sie suchen in einer Notlage verzweifelt nach Arbeit – greifen Sie niemals einfach zu, ohne vorher genauer hinzuschauen. Prüfen Sie die Identität Ihres Gesprächspartners, die Gültigkeit des Stellenangebots und die Sicherheit des Kommunikationskanals. Wenn Sie den Fehler machen, und sich dazu verleiten lassen, etwas herunterzuladen, ist das kein Grund zur Sorge – Ihr Gerät ist durchaus in der Lage, Angriffe abzuwehren, wenn Sie Updates gewissenhaft durchführen. Damit es jedoch erst gar nicht so weit kommt, sollten Sie sich über die Risiken und Tücken im Internet im Klaren sein, damit Sie Mishing-Angriffe besser erkennen und verhindern können. Bleiben Sie immer wachsam.
Die Inhalte dieses Beitrags dienen lediglich zu Informationszwecken und stellen keine professionelle Beratung dar. Ihre Richtigkeit, Vollständigkeit, Belastbarkeit, Aktualität und Fehlerfreiheit werden nicht garantiert.
Quellen
https://www.zimperium.com/blog/applite-a-new-antidot-variant-targeting-mobile-employee-devices/
https://www.securitymagazine.com/articles/101246-report-new-cyber-scam-campaign-targets-job-seekers
https://cyble.com/blog/new-antidot-android-banking-trojan-masquerading-as-google-play-updates/
https://www.whiteblueocean.com/newsroom/the-state-of-banking-droppers-in-2024/
https://www.whiteblueocean.com/glossary/
https://www.kaspersky.com/resource-center/threats/trickbot
https://www.cisa.gov/news-events/cybersecurity-advisories/aa19-339a
https://blogs.microsoft.com/on-the-issues/2022/04/13/zloader-botnet-disrupted-malware-ukraine/