Eine gezielte Spionagekampagne hat die israelische ‘Red Alert’-App während des Konflikts zwischen Israel und dem Iran missbraucht, um eine gefälschte Version an Zivilisten zu verteilen. Die gefälschte App, benannt RedAlert.apk, wurde über SMS-Phishing-Nachrichten verbreitet, die den israelischen Home Front Command täuschten, und ließ Nutzer die App außerhalb des Google Play Stores installieren.

Panik in Kriegszeiten ausnutzen

Die RedAlert-Kampagne nutzte die Angst und Dringlichkeit des aktiven Konflikts, indem sie den Namen der legitimen Notfall-App für die Verteilung einer schädlichen Version ausnutzte. Die Benutzeroberfläche der App war identisch mit der offiziellen, wodurch es für Nutzer praktisch unmöglich war, die Bedrohung zu erkennen.

Laut Analysten von CloudSEK war die gefälschte App so konzipiert, dass sie die eingebauten Sicherheitsfunktionen von Android umging, indem sie Nutzer zwang, die APK manuell zu installieren. Dieser Ansatz ermöglichte es der Schadsoftware, die Erkennung durch Standard-Sicherheitsprotokolle zu umgehen.

Die Angreifer nutzten SMS-Phishing-Nachrichten, die wie dringende Kriegsaktualisierungen wirkten, und drängten Nutzer, die App sofort herunterzuladen. Die echte App ist nur im Google Play Store verfügbar, weshalb die Kampagne Nutzer zwang, die schädliche APK direkt zu installieren, ein Prozess, der normalerweise Sicherheitsalarm auslöst.

Heimliche Datensammlung und Überwachung

Nach der Installation bat die gefälschte App um hohe Risikerechte, einschließlich Zugriff auf SMS, Kontakte und GPS-Position. Diese Rechte wurden als notwendig für die Notfallalarmfunktionen der App dargestellt, doch in Wirklichkeit ermöglichten sie Datensammlung und Überwachung.

Laut der Analyse von CloudSEK sammelt die Schadsoftware Daten lokal und sendet sie über HTTP-POST-Anfragen an Server, die von Angreifern kontrolliert werden. Die Angreifer konnten Nutzerpositionen während aktiver Luftangriffe verfolgen, was möglicherweise Schutzraumorte oder Reservisten identifizierte.

Das Abfangen von SMS-Postfächern ermöglichte es den Gegnern, die zweistufige Authentifizierung zu umgehen und Desinformationen zu verbreiten. CloudSEK klassifizierte die Kampagne als schwerwiegende strategische und physische Sicherheitsbedrohung, nicht nur als herkömmlichen Spionagefall.

Dreistufige Infektionskette

Die technische Gestaltung der RedAlert.apk enthüllte eine mehrstufige Infektionskette, die sowohl von Nutzern als auch von Sicherheitswerkzeugen verborgen bleiben sollte. In Stufe 1 verwendete die äußere APK-Verpackung eine Technik namens Package Manager Hooking, um Systemaufrufe abzufangen und ein fest codiertes Zertifikat zurückzugeben, das die Anmeldeinformationen der offiziellen App täuschte.

In Stufe 2 wurde eine versteckte Datei namens ‘umgdn’ aus dem APK-Assets-Ordner extrahiert und als Dalvik-Executable in den Speicher geladen, um statische Sicherheitsscanner zu umgehen. In Stufe 3 wurde die finale Nutzlast, DebugProbesKt.dex, bereitgestellt, die die vollständige Spionage-Software aktiviert und Kommunikation mit Servern, die von Angreifern kontrolliert werden, herstellt.

CloudSEK warnte Nutzer, die gefälschte App sofort zu entfernen und eine Werkfabrik-Reset durchzuführen, um Daten zu vermeiden. Netzwerkadministratoren wurden angewiesen, alle DNS- und HTTPS-Verkehr zu bestimmten IP-Adressen zu blockieren und strenge Mobile Device Management-Richtlinien umzusetzen.

Organisationen wurden aufgefordert, Warnungen zu konfliktbezogenen Smishing-Angriffen zu veröffentlichen, insbesondere solche, die mit dem Israel-Iran-Konflikt verbunden sind. Die Kampagne zeigt, wie die Risiken von Cyberbedrohungen zunehmen, die geopolitische Spannungen ausnutzen, um Zivilisten anzugreifen.