04.01.2024, 13:39 Uhr | Lesezeit: 3 Minuten
Vor einigen Monaten wurde über einen neuartigen Trojaner-Typen gerätselt und nun haben Sicherheitsforscher das Problem identifizieren können. Und zwar nisten sich Hacker über die Schadsoftware in Google-Konten ein und haben hierfür eine durchaus erstaunliche Schwachstelle erkannt.
Die Anzahl an Schadsoftware ist in den vergangenen Jahren immens gestiegen. Cyber-Kriminelle versuchen mit ausgeklügelten Hacks Zugang zu diversen Konten zu bekommen. Dazu dient auch die neuartige Schadsoftware „Lumma“. Dabei handelt es sich um einen Trojaner, der vor allem Google-Konten befällt. Los wird man die Malware auch dann nicht, wenn man das Passwort ändert.
Abonnieren Sie uns bei WhatsApp und verpassen Sie keine wichtigen News im Bereich Technik, Mobile Lifestyle und Home Entertainment.
So nistet sich der neuartige Trojaner ein
Bereits vor einigen Monaten hatte das Sicherheitsunternehmen CloudSEK über einen sogenannten Exploit bei Google berichtet. Dabei handelt sich um die systematische Ausnutzung der Schwachstelle eines Systems. Die Sicherheitsforscher sagten damals, dass es sich um einen Exploit handele, „der die Generierung dauerhafter Google-Cookies durch Token-Manipulation ermöglicht“. Nachdem die Schwachstelle bekannt wurde, baute man diesen auch in Malware wie Lumma, Rhadamanthys, Risepro, Meduza etc. ein.
Solch eine Art von Malware nennt man auch Infostealer. Dabei werden Login-Cookies manipuliert und den Hackern dadurch ein dauerhafter Zugang gewährt. Im Grunde werden die Cookies stetig neu generiert. Der Trojaner nutzt dafür einen bisher undokumentierte Google OAuth-Endpunkt (Open Authorization) namens Multilogin.
Der Endpunkt bzw. die Schnittstelle ist eigentlich dafür gedacht, um Kontodaten über verschiedene Geräte abzugleichen. Über die Schnittstelle würden Cyber-Kriminelle nun abgelaufene Sitzungscookies mit den genannten Tokens wiederherstellen. Dank einer entsprechenden Verschlüsselung kann „Lumma“ auch problemlos Sicherheitsprogramme und -lösungen umgehen. Dadurch bekommen die Hacker Zugriff auf alle Konten, in die der Nutzer zum Zeitpunkt der Attacke eingeloggt war.
Infizierte Apps sofort löschen! Diese Malware-Kampagnen bedrohen derzeit Android-Geräte und iPhones
Gefährlicher Trojaner Vermeintliches Android-Update installiert neuartige Schadsoftware
Asus verteilt ungewollt Malware Warum vorinstallierte Software für Ihren PC schädlich sein kann
Kann man sein Google-Konto vor dem Trojaner schützen?
Im Grunde kann jeder Nutzer von einer Malware-Attacke betroffen sein. Um sich bestmöglich zu schützen, sollte man nicht nur über einen aktuellen Virenschutz verfügen, sondern auch mit Downloads vorsichtig sein. Sollte eine Download-Quelle nicht zu 100 Prozent sicher sein, sollte man auch nichts auf seinen Rechner herunterladen.
Bei einem „normalen Cyberangriff“ kann es hilfreich sein, seine Passwörter zu ändern. Auch ist es stets zu empfehlen, den Browser oder auch sämtliche Programme mit Updates zu versorgen, vor allem dann, wenn die Entwickler Sicherheitspatches ausrollen.
Zum Thema: Diese virenverseuchten Apps sollten Sie sofort löschen
Bei „Lumma“ gibt es aber ein etwas größeres Problem. Da die verschlüsselten Authentifizierungs-Tokens nicht von einem Google-Passwort abhängig sind, übersteht der Trojaner auch eine Passwortänderung. Deshalb können betroffene Nutzer in diesem Fall nur wenig tun.
Vielmehr muss Google selbst das Problem angehen und versuchen, die Sicherheitslücke schnellstmöglich zu schließen. Gegenüber dem US-amerikanischen Magazin Techradar sagte ein Google-Sprecher: „Google sind aktuelle Berichte über den Diebstahl von Sitzungstoken durch eine Malware-Familie bekannt. Angriffe mit Malware, die Cookies und Token stiehlt, sind nichts Neues […].“ Weiter heißt es, dass „gestohlene Sitzungen durch einfaches Abmelden vom betroffenen Browser ungültig gemacht oder aus der Ferne über die Geräte des Benutzers widerrufen werden können“. Google werde die Situation weiterhin beobachten und notfalls Aktualisierungen bereitstellen.