Neues Update der Google Play-Dienste
In dem neuesten Update der Google Play-Dienste wurde eine Funktion für den automatischen Neustart von Android-Geräten implementiert. Dies soll die Datenextraktion mit modernen forensischen Werkzeugen erschweren. Wird das Telefon eingeschaltet, gelangt es in den Zustand „Before First Unlock“, in dem die meisten Benutzerdaten verschlüsselt bleiben. Nach dem ersten Entsperren, im Zustand „After First Unlock“ (AFU), sind diese Daten jedoch für die Extraktion zugänglich. Dank der neuen Funktion wird das Gerät automatisch neu gestartet, wenn es 72 Stunden lang inaktiv bleibt.
Trojanisierte Anwendungen in Budget-Smartphones
Dr.Web-Forscher berichteten zudem von vorinstallierten trojanisierten Anwendungen in Budgetversionen von Premium-Android-Smartphone-Modellen von Samsung und Huawei. Zu den modifizierten Programmen zählen Messenger wie WhatsApp und Telegram sowie QR-Code-Scanner und andere Anwendungen. Die Shibai-Malware unterbricht den App-Update-Prozess und durchsucht Chats aktiv nach Ethereum- oder Tron-Kryptowallet-Adressen, um diese durch betrügerische Adressen zu ersetzen. Darüber hinaus scannt sie gespeicherte Bilder auf das Vorhandensein von Seed-Phrasen.
Die Angreifer nutzen etwa 30 Domains zur Verbreitung der Malware und mehr als 60 Command-Server. In den letzten zwei Jahren haben die Wallets der Organisatoren des Betrugsschemas über 1,6 Millionen Dollar erlangt.
Sicherheitsanfälligkeiten in Browser-Wallets
Coinspect-Forscher haben kritische Sicherheitsanfälligkeiten in den Browser-Wallets Stellar Freighter, Frontier Wallet und Coin98 entdeckt. Diese Schwachstellen ermöglichen es Angreifern, Vermögenswerte unbemerkt zu stehlen. Um sich mit DApps (decentralized applications) zu verbinden, injizieren die Browser-Wallets Code in jede von einem Benutzer besuchte Tab, um einen Kommunikationskanal einzurichten. Dadurch kann die App die Wallet erkennen und Zugriff auf wichtige Funktionen wie das Anzeige des Kontostands oder das Einleiten von Genehmigungsanforderungen für Transaktionen anfordern.
Nachrichten werden an ein Hintergrundskript übermittelt, das Zugang zum privaten Schlüssel hat. Die endgültige Interaktion findet innerhalb der Wallet-Oberfläche statt.
Im Gegensatz zu langfristigen Verbindungen, die separate Kanäle für verschiedene Teile der Erweiterung erstellen, geschieht dies ohne solche Trennung. Ein Angreifer kann absichtlich Verwirrung stiften, indem er über einen Listener im Hintergrundskript eine Nachricht an eine privilegierte API sendet. Schadhafte Anfragen ahmen legitime Vorgänge nach und können zur Anzeige der Seed-Phrase für Backup-Zwecke führen.
Experten haben die Details zur Sicherheitsanfälligkeit an die Entwickler jeder der drei Wallets übermittelt. Bisher wurden alle erforderlichen Korrekturen vorgenommen.
Angriff auf 4chan und die Folgen
Am 14. April wurde das Online-Forum 4chan einem schweren Angriff ausgesetzt, welcher zu einem vorübergehenden Stillstand des Betriebs führte. Mitglieder des Imageboards Soyjak.party übernahmen die Verantwortung für den Vorfall. Screenshots von Kontrollpanelen der Administratoren sowie eine vermeintliche Liste von E-Mail-Adressen, die zur Führungsebene der Plattform gehören, wurden online geleakt.
Laut Bleeping Computer ermöglicht die mögliche Abfangung von Wartungswerkzeugen Hackern den Zugriff auf die Standorte und IP-Adressen der Nutzer, die Möglichkeit, alle 4chan-Boards neu zu starten und die Datenbanken zu verwalten. Später am selben Tag erschien der Quellcode des Forums auf Kiwi Farms. Die mutmaßlichen Hacker gaben den Angriffswinkel nicht preis. Laut der Community könnte eine veraltete PHP-Version der Plattform aus dem Jahr 2016 die Ursache sein.
Um den Schaden zu minimieren, haben die Administratoren vermutlich die Server heruntergefahren. Zum Zeitpunkt des Schreibens ist die Seite nicht zugänglich.
Prodafts Initiative zur Cyberkriminalitätsbekämpfung
Die Schweizer Cybersecurity-Firma Prodaft kündigte den Erwerb von Konten aus Dunkelnetzforen an. Diese betreffen Konten bei XSS, Exploit, RAMP4U, Verified und BreachForums, die vor Dezember 2022 registriert wurden. Den Eigentümern wird eine Zahlung in Kryptowährung garantiert, wobei höhere Beträge für Moderator- oder Administratorkonten bereitgestellt werden.
Das Konto darf nicht auf der Liste der meistgesuchten von Strafverfolgungsbehörden stehen. Zudem können Benutzer im Rahmen der Initiative anonym Cyberkriminalität melden, die von anderen begangen wurde. Der Deal wird anonym durchgeführt, wobei sichere Kommunikationskanäle verwendet werden. Anschließend werden die erhaltenen Daten ohne Verkäuferinformationen an die Strafverfolgungsbehörden übermittelt, um sie in HUMINT-Operationen (Human Intelligence) und zur Infiltration geschlossener cyberkrimineller Gemeinschaften zu verwenden.
Inhaltentfernungsanträge bei Reddit
Die amerikanische Plattform Reddit erhielt in der zweiten Hälfte des Jahres 2024 insgesamt 122 Inhaltsentfernungsanträge von Regierungsbehörden und Strafverfolgungsbehörden verschiedener Länder. Insbesondere Russland sandte 15 einzigartige Anfragen, von denen das soziale Netzwerk nur vier (26%) entsprach. Dem Bericht zufolge verstieß weniger als ein Drittel des angeforderten Inhalts (27%) tatsächlich gegen die Plattformregeln. Geoblocking wurde in keinem Fall angewendet.
Die größte Anzahl von Anfragen (24) kam von den Behörden der VAE. Darüber hinaus stellte sich heraus, dass insgesamt 27 rechtliche Anfragen gefälscht waren, worüber Reddit die Strafverfolgungsbehörden informierte.
