Menü

Phishing-Angriff auf Regierungskritiker in Ägypten – mit Apps aus dem Play Store

Spezialisten enthüllen einen ausgefeilten Phishing-Angriff in Ägypten. Beteiligt waren Android-Apps, die es in den Play Store geschafft haben, ohne aufzufallen.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 24 Beiträge

(Bild: ra2studio/Shutterstock.com)

Von

In Ägypten gab es Anfang des Jahres eine Welle von gezielten Phishing-Angriffen auf Menschenrechtsaktivisten, Journalisten und zivilgesellschaftliche Einrichtungen, die vermutlich von einer Hackergruppe mit staatlicher Unterstützung ausgingen. Nachdem dies zunächst von Amnesty International berichtet worden war, enthüllten Spezialisten des Firewall-Herstellers Check Point nun technische Hintergründe des Vorgehens, das auch als "OAuth Phishing" beschrieben wird und mit Hilfe böswilliger Android-Apps gelingen konnte, die es in Googles Play Store geschafft hatten.

Im März berichtete die Menschenrechtsorganisation Amnesty International über Phishing-Angriffe seit Januar auf Personen und Institutionen in Ägypten, die von Regierung und Behörden des Landes bereits kritisch betrachtet und teils behindert wurden. Amnesty International schätzt die Zahl der Betroffenen auf mehrere Hundert und sieht Hinweise darauf, dass die Angreifer Unterstützung vom ägyptischen Staat erhalten – etwa die gezielte Auswahl der Betroffenen und das Zusammenfallen von Angriffswellen mit bestimmten politischen Tagesereignissen wie dem Besuch des französischen Präsidenten Macron im Januar.

Einige der Opfer, die sich mit Amnesty in Verbindung setzten, berichteten zudem von Warnhinweisen von Google, dass staatlich unterstützte Angreifer versuchen könnten, an ihr Passwort zu gelangen. Allerdings gab Google keine weiteren Hinweise darauf, worauf sich diese Warnung stützt, damit die Angreifer ihre Strategie nicht anpassen können. Die Angriffe setzten nicht auf das verbreitete herkömmliche Phishing, bei dem das Opfer auf eine gefälschte Website unter Kontrolle des Angreifer gelenkt und zur Eingabe von Kontodaten samt Passwort verleitet wird. Diese Art Phishing ist durch Domainsperren und Sicherheitsmaßnahmen wie die Zweifaktor-Authentifizierung mittlerweile recht gut zu umgehen.

Bei dem "OAuth Phishing" genannten Verfahren nutzen Angreifer eine legitime Funktion von Google, mit der Drittanbieter-Apps Zugriff auf (bestimmte oder alle) Daten eines Google-Nutzerkontos erfragen können – für die korrekte Authentifizierung sorgt Google im Hintergrund. Der Link in einer entsprechenden Phishing-E-Mail führt also zu einer 'echten' Google-Abfrage, mit der man einer App Zugriff gewährt. Dies ist beispielsweise auch der Fall bei der offiziellen Google-Kalender-App, der man so Zugriff auf die Termine in seinem Google-Konto einräumt.

Spezialisten des israelischen Firewall- und VPN-Hersteller Check Point sind den Entdeckungen von Amnesty International nachgegangen und haben teils detailliert nachvollziehen können, wie die Angreifer dabei vorgegangen sind. Sie nutzten unverdächtig erscheinende Apps, die Zugriff auf Googles E-Mail-Dienst GMail verlangten; außerdem auf Microsofts Maildienst Outlook.com, der eine vergleichbare Zugriffsmöglichkeit durch Drittanbieter-Apps bietet. Andere Apps wollten unter dem Vorwand eines 'Backups' auf die Dateien in der Cloud-Ablage Google Drive zugreifen.

Außerdem entdeckte Check Point Apps, die den Standort eines Mobilgeräts verrieten. Alle diese Apps konnten die Angreifer offenbar ohne aufzufallen in Googles offiziellem Play Store unterbringen. Erst nach den Hinweisen von Check Point wurden sie aus dem Play Store entfernt und Google sperrte die betreffenden Entwicklerkonten, berichtet das Unternehmen in einem Artikel.

Die Angreifer verwendeten offenbar eine ausgefeilte Infrastruktur und geteilten Code, der teils auf GitHub gehostet war. In den Codeschnipseln, die die Check-Point-Spezialisten untersuchten und die sie teils auf offenen Verzeichnissen der Phishing-Server fanden, verbargen sich unter anderem Datenbank-Anmeldedaten, über die die E-Mail-Adressen einiger der offenbar gezielt ausgewählten Opfer ermittelt werden konnten.

Auch die E-Mail-Adresse eines 'Administrators' dieser Infrastruktur tauchte immer wieder auf und wurde etwa alarmiert, wenn ein Skript ungewöhnlich viele Zugriffe registrierte. Die verwendeten Domains im Hintergrund der Phishing-Kampagne verweisen auf Ägypten. Diese und viele weitere Details ihrer Recherche schildern die Spezialisten ausführlich in ihrem Bericht.




Für das Ausspähen des Standorts eines Opfers etwa benutzten die Angreifer eine App namens "iLoud 200%", deren Funktion laut Selbstbeschreibung darin bestehen soll, die Lautstärke eines Android-Geräts heraufzusetzen und den Benutzer darüber zu informieren. Nur enthält die App gar keine derartige Funktion, was ihre Aufnahme in den Play Store jedoch nicht verhindert hat. Pikanterweise lautet der Paketname der Applikation "com.location.operations.iroute", was ziemlich genau die Tätigkeit der App beschreibt.

Google spart nicht mit Warnhinweisen an zahlreichen Stellen, wenn ein Benutzer aufgefordert wird, einer Drittanbieter-App Zugriff auf Daten des eigenen Google-Kontos zu gewähren. Benutzern wird der Name der App genannt mit der Warnung, dass man dieser App vertrauen müsse. In einem Google-Dokument zur Kontosicherheit werden jedoch nur explizit Gefahren wie das Hacken des App-Anbieters genannt oder ein böswilliger Mitarbeiter, der den Zugriff missbrauchen könnte. Das Vorhandensein einer App in Googles Play Store soll demnach noch keinen Anlass zu Verdacht geben.

Dass Apps im Play Store Malware enthalten, kommt leider immer wieder vor. Der hier vorliegende Fall geht jedoch einen Schritt weiter und offenbart, dass eine – mutmaßlich staatlich gesteuerte – Phishing-Kampagne gegen gezielt ausgewählte Personen über einen offiziellen App-Store läuft und die betroffenen Apps keine Malware im herkömmlichen Sinn enthalten, die ein entsprechender Scanner entdecken könnte. (tiw)