VPN-Apps erfreuen sich in der Öffentlichkeit immer größerer Beliebtheit. Offenbar haben böswillige Akteure dies erkannt und sie in ihre unzähligen Strategien integriert, um potenzielle Opfer auszutricksen. Google warnt nun vor einer Bedrohung durch trojanisierte VPN-Apps und die Manipulation von Suchergebnissen zur Installation von Schadsoftware.
Das Managed Defense-Team von Google hat eine Methode entdeckt, die darauf basiert, den Benutzer dazu zu verleiten, VPN-Apps von bösartigen Websites herunterzuladen, die vorgeben, die offiziellen zu sein. Die VPN-App ist mit einem Trojaner versehen, sodass die Angreifer durch die Installation eine Reihe von Fernzugriffsrechten auf Ihrem PC erlangen können.
Google warnt vor Bedrohung durch trojanisierte VPN-Apps
Laut dem Bericht der Forscher „ Malware wird mit beliebten Anwendungen wie LetsVPN gebündelt und durch SEO-Poisoning verbreitet.“ Bei SEO Poisoning handelt es sich um eine Manipulationsmethode, mit der Angreifer die eigenen Websites an die Spitze der Suchergebnisse setzen. Dies lässt Benutzer denken, dass sie auf eine legitime Website zugreifen, obwohl es sich in Wirklichkeit um eine bösartige Website handelt.
Meistens denken die Leute, dass eine Website vertrauenswürdiger oder authentischer ist, wenn sie in den Suchergebnissen weiter oben steht. SEO-Poisoning wird hauptsächlich auf Ergebnisse im Zusammenhang mit VPN-App-Downloads angewendet. Die ersten Ergebnisse führten jedoch tatsächlich zum Download von VPNs, die mit der Schadsoftware „Playfulghost“ trojanisiert waren. Playfulghost ist „eine Hintertür, die die Funktionalität mit Gh0st RAT teilt,“, heißt es in dem Bericht.
Gh0st RAT (Remote Access Terminal) ist ein Fernverwaltungstool, das es seit mindestens 2008 gibt. Auf dieser Technologie basierende Angriffe sind also nicht gerade neu. Playfulghost ist ähnlich. Es verfügt jedoch über eigene Verkehrs- und Verschlüsselungsmuster, die es so unterschiedlich machen, dass es als anderes Tool bezeichnet werden kann.
Die Malware ermöglicht Angreifern Fernzugriff auf Ihren PC
Playfulghost ermöglicht dem Angreifer mehrere Möglichkeiten der Fernsteuerung des infizierten Computers. Böswillige Akteure können beispielsweise Dateien öffnen, löschen und neue schreiben. Darüber hinaus ist das Tool in der Lage, Schlüsselprotokolle, Screenshots und Audio zu erfassen und an einen Remote-Server zu senden.
SEO-Poisoning ist nicht die einzige Trickmethode, die von Angreifern eingesetzt wird. Sie greifen auch auf klassische Phishing-Angriffe über E-Mails mit Links zu bösartigen Websites zurück, von denen trojanisierte VPNs heruntergeladen werden können. Bemerkenswert ist, dass es auch Fälle von Infektionen durch getarnte ausführbare Dateien gibt. Google beschreibt den Fall eines Opfers, das ein „Bild“ öffnete, bei dem es sich in Wirklichkeit um die Malware Playfulghost handelte.
Angesichts dessen, was wir gesehen haben, können Sie sich nicht zu 100 % auf die Positionierung einer Website in den Suchmaschinenergebnissen verlassen, um deren Legitimität festzustellen. Wenn Sie also Software herunterladen möchten, geben Sie am besten den Namen der offiziellen Website ein. Das kostet zwar mehr Zeit, könnte Ihnen aber eine Menge Kopfschmerzen ersparen.
