Multi device Hardcore attack (mitm, android engine pishing, Router highjacking etwa...)

ANDREx01

Hallo,

Ich such eine Firma die professionelle Lösungen bietet um eine Attacke der etwas krassen art loszuwerden. Virenscanner oder logfileshochladen bringt null. Aber ich fang mal von vorn an, vielleicht hatte ja schon mal jemand eine ähnliche Attacke, aber das ist unwahrscheinlich.

Vor zwei Wochen hockte ich apex legends auf meinem PC und wurde aus dem Spiel geworfen weil sich jemand anderes eingelockt hatte. Nicht besonderes dachte, halt trojaner eingefangen. Die üblichen Schritte unternommen. Sämtliche Festplatten gewiped, Windows neu installiert und sämtliche wichtigen Passwörter vom handybrowser aus geändert.

Nach dem ich meine google accountdaten geändert hatte, krieg ich ne mail das meine passwörter erneut geändert wurden.

Erneut geändert und festgestellt das ich in ne pishing falle getappt bin weil meine Änderung in einer Fehlermeldung endete.

Ok, dachte ich. Greifen wir zum zweithandy ohne rot welches ich eigentlich nur benutze für solche Dinge, muss nebenbei erwähnen das ich eine kleine softwarefirma betreibe welche sich mit Apple protections beschäftigt, bin also nicht ganz unerfahren...

Umso erstaunter war ich als ich feststellte das erneut eine pishing Attacke erfolgte, wohlgemerkt auf dem nonroot tab s6 Tablett von samsung, jedoch nicht etwa mittels gefälschter email oder Webseiten....die pishing Attacke nutzte das androidsystem und die Standard android gui um meine Anfragen abzufangen. Unmöglich dachte ich das würde schließlich bedeuten jemand hätte meine Firmenware via remove gerooted und modifiziert. Kurz paar sicherheitseinstellungem kontrolliert und siehe da, unter zertifaktseinstellungen fand ich plötzlich nicht nur das ein arbeitsprofil angelegt wurde, sondern auch ein benutzerzertifakt + ein paar rootzertifikate die ich nicht kannte. Gleich meine anderen Handys gecheckt welche beide gerooted sind, Fehlanzeige. Zumindest was die zertifakte anging, jedoch fand ich diverse Überwachungsapps die ich defintiv nicht installiert hatte. Shit. Ich zuerst das Tablett komplett resetted und erneut sämtliche Passwörter geändert welche wichtig waren zudem einen neuen nicht google mailaccount bei protonmail eröffnet und den als recovery account hinterlegt in den google Profilen....

3 Fragezeichen hatte ich dann überm Kopf als mein protonpasswort welches mit 2FA (wie alle anderen accounts) gesichert war, meldete das mein protonpasswort geändert wurde. Gibst überhaupt nicht dachte ich und in den wlanrouter geschaut, bis auf eine amerikanische IP in der whitellist (fritzbox 5790 latent firmware) nix auffälliges entdeckt. Sicherheitshalber routerpasswörter geändert und wlanschlüssel.

In der Zwischenzeit habe ich auch Windows neu aufgespielt mit dem Resultat das ich jedes mal nach 5 Minuten erneute trojaner Aktivitäten gestellte. Ich weiß nicht warum aber mein Screen flickert leicht wenn jemand via zuschaut via remote. Seltsam, mir kurz meine Windows iso angeschaut und siehe da, die war manipuliert. Das änderungsdatum von ein paar wenigen Dateien unterschied sich vom Rest um eine Minute.

Jupp, wtf...das dachte ich auch. WTF V2.0 erschien mit dann in der Rübe nachdem ich von der Microsoft Seite ein neues Image runterlud und ( ja ich habe 5 mal geschaut das es die originale Seite war) und ich erneut feststellte das es nicht die orginal Version war. Diesmal md5 hash verglichen.

Um das ganze mal abzukürzen. Jemand leitet meinen kompletten Datenverkehr über eine IP die sich hinter 11 proxies versteckt (ab dem 3. Konnte ich die IP nicht mehr nachvollziehen) filtert automatisch sicherheitsrelevante Seiten wie googleaccount etwas heraus und ersetzt diese automatisch mit manipulierten. Der zertifaktscheck zeigt allways das Original Zertifikat, es ist also nicht ersichtlich das es pishing ist.

Windows kennt ich mich nicht so sehr aus, aber das das android System gefälschte popups, als nicht über den Browser, sondern über die android gui benutzt um Anfragen zu Fakten und das auf orginal Firmware ohne rot...ist defintiv neu für mich und zeigt das hier eine massive Sicherheitslücke in android existiert den dies tritt bei allen Geräten auf. Es war und ist mir also nicht möglich Kontrolle über meine accounts wiederzuerlangen. Im Moment bin ich eher am testen als am versuchen das ganze loszuwerden weil mich die professionelle art der Attacke begeistert, welche 24/7 live zu sein scheint. Heißt da sitzt irgendwo jemand und überwacht das ganze. Festgestellt hatte ich als ich ein android Gerät im secure Modus startete und anfing systemrelevante Dienste und AppStore abzuschalten welche nicht existenziell sind, es gelang mir sogar die feindliche Komponenten soweit zu ändern das der der Angreifer die Kontrolle verlor...zumindest bis zum nächsten Firmware Reset, denn dann passiert folgendes. Gerät empfängt eine konfigurationssms welche normal nicht sichtbar ist und mit dieser erhält der Angreifer vollzugang zum Gerät indem er remote ein enterprise Profil erstellt und somit admin access bekommt. Logisch habe ich versucht mobile Netz auszulassen aber dann schafft er selbiges via Wifi. Keine Ahnung wie. Routereset nützt nichts. Sobald er die IP oder Telefonnummer hat braucht er fünf Minuten um die Kontrolle zu erhalten. .

Virenscanner hab ich alles durch was es gibt, sowohl auf Handy als auch Windows. Nichts, nicht eine detection. Am Anfang konnte ich nicht mittels Tool herausfinden das mitm Attacke läuft aber inzwischen sooft er auch das.

Ich brauche also ein Profi Lösung die gern auch was kosten darf. Welche Firmen bieten da was an bzw. Sind zu empfehlen?

Danke und gruss