Nordkoreas SpyAgent-Malware — FBI warnt vor Angriffen auf Android & iOS

Transparenz

Das Wichtigste auf einen Blick

  • Nordkoreas SpyAgent-Malware hat ihren Angriffsradius über Südkorea hinaus ausgedehnt und zielt nun auch auf Opfer im Vereinigten Königreich und möglicherweise in den USA ab. Dies zeigt die zunehmende globale Bedrohung durch nordkoreanische Cyberangriffe.
  • SpyAgent ist eine hochentwickelte Malware, die Sicherheitsmaßnahmen auf Android- und iOS-Geräten umgehen kann und sich schnell durch Phishing-Angriffe verbreitet.
  • Die Malware ist darauf ausgelegt, Informationen aus Kryptowährungs-Wallets zu stehlen, sammelt jedoch auch persönliche Daten wie Textnachrichten, Kontakte und Bilder.
  • Die Cyberfähigkeiten Nordkoreas zeigen eine kontinuierliche Weiterentwicklung, mit zunehmender Raffinesse und einem breiteren Zielbereich bei jedem neuen Angriff.

Eine von Nordkorea unterstützte Kampagne zum Diebstahl von Kryptowährungen, die ursprünglich Südkoreanische Opfer ins Visier nahm, weitet sich nun auf andere Regionen aus, darunter das Vereinigte Königreich und vermutlich auch die USA.

Digitale forensische Analysen zeigen, dass die von den nordkoreanischen Angreifern eingesetzte Malware Android-Geräte angreifen kann, möglicherweise jedoch auch iPhones und andere iOS-basierte Geräte.

Am 5. September warnte McAfee’s Mobile Research Team vor der Ausbreitung der nordkoreanischen SpyAgent-Malware auf Android-Geräte. Wie bei früheren nordkoreanischen Angriffen zielt diese neue Malware ebenfalls auf die Krypto-Wallets der Opfer ab.

McAfee-Forscher, die Zugang zu einem ungeschützten Command-and-Control-Server der Angreifer erhielten, entdeckten zudem Hinweise darauf, dass die Malware in naher Zukunft auch iOS-Geräte angreifen könnte.

McAfee entdeckt SpyAgent im Einsatz

mcafee
C2-Admin-Panel von SpyAgent zeigt kompromittierte Telefone und Daten an, darunter auch ein iPhone mit iOS. Quelle: McAfee

SpyAgent bringt als Malware einige neue Funktionen mit sich. Sie kann auf Smartphones nach „mnemonischen Schlüsseln“ suchen, die Benutzer oft in Bildformaten speichern. Diese mnemonischen Schlüssel – auch bekannt als Seed-Phrasen, Wiederherstellungsphrasen oder Backup-Phrasen – schützen und ermöglichen den Zugriff auf Kryptowährungs-Wallets.

Im Gegensatz zu anderen nordkoreanischen Krypto-Diebstählen und Blockchain-Angriffen verbreitet sich diese Malware besonders schnell, da sie die Kontrolle über das Smartphone des Opfers übernimmt und es zur Versendung überzeugender Phishing-SMS („Smishing“) nutzt.

Dieser Angriff hebt sich von anderen, die mit Kim Jong Uns Hacker-Einheiten in Verbindung stehen, ab, da es sich um besonders effektive Spionagesoftware handelt.

SpyAgent cyberangriff
SpyAgent begann in Südkorea mit gefälschten Websites und Apps. Quelle: McAfee

FBI warnt vor nordkoreanischem Angriff auf die Krypto-Branche

Am 3. September gaben CISA und das FBI eine Warnung an Mitarbeiter von dezentralen Finanzdiensten („DeFi“), Kryptowährungsunternehmen und ähnlichen Branchen heraus. Sie haben entdeckt, dass nordkoreanische Bedrohungsakteure die Branche und Community erforschen und Daten sammeln.

Laut FBI deutet dies darauf hin, dass Nordkorea plant, eine ausgeklügelte Phishing-Kampagne gegen die Blockchain- und Krypto-Industrie zu starten.

Die SpyAgent-Malware, wie bereits erwähnt, ist ein Spionagewerkzeug, das neben dem Leeren von Krypto-Wallets auch umfassende Informationen sammeln kann, die für glaubwürdigere Betrügereien gegen die Opfer genutzt werden könnten.

Nordkoreas Besessenheit für Kryptowährungen ist gut dokumentiert und zeigt keine Anzeichen einer Abnahme. Laut den Vereinten Nationen haben Gruppen wie die Lazarus Group über 3 Milliarden Dollar an die nordkoreanische Regierung überwiesen.

Diese illegal erlangten Mittel aus Krypto-Diebstählen werden von Nordkorea verwendet, um international sanktionierte militärische und staatliche Programme zu finanzieren, einschließlich der Entwicklung von Massenvernichtungswaffen und Interkontinentalraketen.

FBI CISA warnung
Das FBI und CISA haben eine neue Warnung vor nordkoreanischen Hackern herausgegeben.

Irina Tsukerman, Expertin für nationale Sicherheit, Menschenrechte und geopolitische Analysen, warnte gegenüber Techopedia, dass die Krypto-Community die Fähigkeiten nordkoreanischer Bedrohungsakteure nicht unterschätzen sollte.

„Die nordkoreanischen Nachrichtendienstler sind viel raffinierter, als man angesichts der Isolation Nordkoreas annehmen würde. Viele dieser Hacker, Manipulatoren und Spione sind tatsächlich in China, Malaysia oder sogar in afrikanischen Ländern ansässig und sind daher gut mit externen Kommunikationskanälen, Informationsräumen, Gewohnheiten und dem Stand der Cybersicherheit vertraut.“

Die aktuelle Warnung von CISA und FBI bestätigt die gestiegenen Fähigkeiten und Ressourcen, die nordkoreanische Bedrohungsakteure besitzen.

Tsukerman betonte, dass Phishing-Kampagnen wie SpyAgent nicht nur auf Geld abzielen, sondern auch darauf, die Denkweise, Interessen und Gewohnheiten der Zielpersonen zu verstehen.

Darüber hinaus nehmen die digitalen Cyberkriminalitätsoperationen Nordkoreas zu und werden immer gefährlicher, wobei jede neue Iteration mehr Risiko birgt.

„Nordkoreanische Spione könnten ebenso gut westliche Ressourcen wie jede andere Geheimdienstquelle nutzen. Zudem ist es nicht überraschend, wenn sie zunehmend in Kampagnen eingebunden werden, die in Zusammenarbeit mit Ländern wie Russland, China oder dem Iran durchgeführt werden.“

Tsukerman stellte fest, dass die Hauptmotivation hinter diesen Cyberangriffen die Finanzierung sanktionierter Programme ist, erwartet jedoch auch eine Verschärfung der Angriffe.

„Erwarten Sie, dass sich diese Kampagnen künftig auf andere Bereiche ausweiten werden, da Nordkorea sowohl selbstbewusster in seinen Cyberfähigkeiten wird als auch geopolitisch an Bedeutung gewinnt.“

Mehr als nur Krypto-Hacking: Umfangreiche Spionage-Malware-Fähigkeiten

Die 280 gefälschten Websites und Apps, die ausgeklügelte Malware-Programmierung und eine möglicherweise extrem schwierige iOS-Version, kombiniert mit SMS-Zugriffsfähigkeiten – all diese Hinweise deuten darauf hin, dass diese Kampagne bereit ist, sich global auszubreiten und langfristig zu bestehen.

McAfee hatte in seinem ursprünglichen Bericht gewarnt, dass sich die Malware anpasst und sich im Vereinigten Königreich ausbreiten könnte.

„Der Schritt in das Vereinigte Königreich deutet auf einen gezielten Versuch hin, die Operationen zu erweitern und neue Nutzergruppen mit lokalisierten Malware-Versionen zu erreichen.“

Die Kampagne nutzt eine klassische Angriffstechnik: Smishing, bei dem mit Schadsoftware versehene SMS-Links Benutzer auf bösartige Websites umleiten, und Trojaner-Malware, die Opfer dazu bringt, Apps aus inoffiziellen Quellen herunterzuladen.

Um den Betrug noch glaubwürdiger zu machen, pushen nordkoreanische Hacker gefälschte Apps, die Regierungsdienste, Kredite und sogar Todesanzeigen imitieren.

cyberattacke nordkorea
Extraktion von Seed-Phrasen auf den Servern der Angreifer gefunden. McAfee hat dieses Bild über einen ungeschützten, vom Angreifer kontrollierten C2-Server erhalten. Quelle: McAfee

Sobald die Malware installiert ist, agiert sie skrupellos. Sie sammelt heimlich Ihre Textnachrichten, Kontakte und gespeicherten Bilder und sendet diese an einen vom Angreifer kontrollierten Server. Währenddessen hält die Malware das Opfer durch endlose Ladebildschirme, unerwartete Weiterleitungen oder kurze, schwarze Bildschirme abgelenkt.

Fazit

SpyAgent ist die neueste Malware aus Nordkorea und zeigt, wie weit die Cyber-Einheiten des Landes bereits sind. Mit umfassender Erfahrung im Blockchain- und Krypto-Hacking haben sie ihre Methoden weiter verfeinert. Die Raffinesse von SpyAgent und seine Fähigkeiten – trotz des ungeschützten C2-Servers – deuten auf ein doppeltes Motiv hin.

Nordkorea zielt nicht nur auf Kryptowährungen ab, sondern auf sämtliche Daten auf dem Smartphone des Opfers. Da Smartphones heutzutage eine riesige Datenquelle darstellen, ist Malware, die all diese Informationen automatisiert und in großem Umfang extrahiert, besonders beunruhigend.

Ray Fernandez
Senior Tech Journalist
Ray Fernandez
Senior Tech Journalist

Ray ist ein Journalist mit über 15 Jahren Erfahrung, der derzeit als Tech-Reporter für Techopedia und TechRepublic arbeitet. Seine Arbeiten wurden u. a. von Microsoft, Moonlock, Venture Beat, Forbes, Solutions Review, The Sunday Mail, The FinTech Times, Bloomberg, Horasis und der Nature Conservancy veröffentlicht.