Spyware wurde entdeckt, die Daten iranischer Benutzer über ein infiziertes VPN-Installationsprogramm stiehlt, hat der Antivirenanbieter Bitdefender enthüllt.
Die gemeinsame Untersuchung des Unternehmens mit der Cybersicherheitsfirma Blackpoint ergab, dass Komponenten der im Iran hergestellten EyeSpy-Malware „durch Trojaner-Installer von VPN-Software (ebenfalls im Iran entwickelt)“ injiziert werden.
Die meisten Ziele befanden sich innerhalb der Landesgrenzen, nur wenige Opfer wurden in Deutschland und den USA gefunden.
Dies ist besonders besorgniserregend in einem Land wie dem Iran, wo die Nutzung eines der besten VPN-Dienste zunehmend zu einer Notwendigkeit geworden ist. Sei es zur Umgehung der strengen Online-Zensur oder zur Wahrung der Anonymität, um eine gefährliche staatliche Überwachung zu vermeiden. Höchstwahrscheinlich eine Mischung aus beidem.
Gleichzeitig könnte ein hartes Vorgehen gegen iranische VPN-Dienste die Menschen auf unsichere Websites von Drittanbietern drängen. Das macht eine solche Spyware-Kampagne noch gefährlicher für die Privatsphäre und Sicherheit der Iraner.
Anti-Dissidenten-Spware?
„Angesichts der jüngsten Ereignisse ist es möglich, dass die Ziele Iraner sind, die über ein VPN auf das Internet zugreifen wollen, um die digitale Sperrung des Landes zu umgehen. Solche böswilligen Installateure könnten Menschen, die eine Bedrohung für das Regime darstellen, Spyware einschleusen.“ Bericht von Bitdefender (öffnet in neuem Tab) notiert.
EyeSpy wurde von der im Iran ansässigen Firma SecondEye entwickelt und ist eine legitime Überwachungssoftware, die an Unternehmen verkauft wird, um die Aktivitäten von Mitarbeitern zu überwachen, die aus der Ferne arbeiten.
Die Angreifer wurden beobachtet, wie sie Komponenten der legitimen Anwendung auf böswillige Weise verwendeten, um Benutzer zu infizieren, die den im Iran ansässigen VPN-Dienst 20Speed herunterladen, und ihre Aktivitäten auszuspionieren.
Einmal in ein Gerät injiziert, kann die Malware praktisch jede Aktivität ausspionieren und eine Menge sensibler Daten sammeln. Dazu gehören gespeicherte Passwörter, Krypto-Wallet-Daten, Dokumente und Bilder, Inhalte aus der Zwischenablage und Protokolle von Tastendrücken.
„Die Komponenten der Malware sind Skripte, die vertrauliche Informationen aus dem System stehlen und sie auf einen FTP-Server von SecondEye hochladen“, erklärte Bitdefender.
„Dies kann zu vollständigen Kontoübernahmen, Identitätsdiebstahl und finanziellen Verlusten führen. Darüber hinaus können Angreifer durch das Protokollieren von Tastendrücken Nachrichten erhalten, die vom Opfer in sozialen Medien oder E-Mails eingegeben wurden, und diese Informationen können verwendet werden, um die Opfer zu erpressen.“
Die Kampagne scheint seit Mai 2022 aktiv zu sein, mit einer wachsenden Zahl von Angriffen nach der Welle von Protesten gegen die Regierung, die im September begann.
Die VPN-Downloads im Iran stiegen daraufhin sprunghaft an und erreichten bis Ende des Monats einen Spitzenwert von mehr als 3.000 %.
Ein VPN ist Wird hauptsächlich von iranischen Bürgern verwendet, um auf eingeschränkte Apps wie Instagram und WhatsApp zuzugreifen. Da die Regierung Dissidenten jedoch zunehmend mit harten Strafen bis hin zur Todesstrafe anklagt, ist zusätzliche Sicherheitssoftware auch eine Notwendigkeit, um sensible Daten zu schützen.
Während immer mehr Iraner ein virtuelles privates Netzwerk auf ihre Geräte herunterladen, gehen die Behörden daher kaum gegen zuverlässige VPN-Dienste vor.
Viele Anbieter sind derzeit im Iran gesperrt, was bedeutet, dass VPN-Installer von Drittanbietern immer beliebter werden. Nach Iran International (öffnet in neuem Tab), 20Speed VPN ist tatsächlich eine der beliebtesten Websites, auf denen Iraner ihre VPN-Abonnements kaufen. Über 100.000 sind die aktiven Installationen seiner Android-VPN-App.
Um solche Malware-Kampagnen zu bekämpfen, empfehlen die Experten von Bitdefender, „bekannte VPN-Lösungen zu verwenden, die von legitimen Quellen heruntergeladen wurden. Außerdem kann eine Sicherheitslösung wie Bitdefender vor Informationsdiebstahl schützen.“