Nordkorea: Neue Malware löscht Handys aus der Ferne

Ein nordkoreanischer Hacker-Angriff erreicht eine neue Eskalationsstufe: Cyber-Kriminelle verfolgen ihre Opfer physisch über GPS und löschen deren Smartphones und PCs aus der Ferne – genau dann, wenn diese nicht zu Hause sind. Die Attacke kombiniert Ortung, Datendiebstahl und soziale Manipulation zu einer beispiellos ausgefeilten Bedrohung.

Das südkoreanische Genians Security Center (GSC) warnt in einem aktuellen Bericht vor der neuartigen Angriffsmethode. Die Experten ordnen die Kampagne einer Advanced Persistent Threat-Gruppe (APT) zu, die mit bekannten nordkoreanischen Akteuren wie Kimsuky oder APT37 in Verbindung steht. Was die Attacke von bisherigen Cyber-Angriffen unterscheidet: Die Hacker verknüpfen digitale Überwachung mit physischer Ortung und warten strategisch den richtigen Moment ab, um maximalen Schaden anzurichten.

Die Angriffskette beginnt scheinbar harmlos über KakaoTalk, Südkoreas meistgenutzte Messenger-App. Die Schadsoftware schlummert oft wochenlang unerkannt auf den infizierten Geräten und sammelt währenddessen Zugangsdaten für Google-Konten und andere IT-Dienste.

Der entscheidende Moment kommt, wenn das Opfer das Haus verlässt. Die Angreifer nutzen Googles “Find Hub”-Funktion zur Standortverfolgung – ein eigentlich nützliches Feature zum Wiederfinden verlorener Geräte. Sobald das System bestätigt, dass sich die Zielperson außer Haus befindet, lösen die Hacker einen vollständigen Factory-Reset aus.

Apropos Schutz vor Fernlöschung – viele Android-Nutzer übersehen einfache Einstellungen, die genau solche Angriffe verhindern können. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen, von sicheren Messenger-Einstellungen bis zu Backup- und Wiederherstellungs-Strategien, damit Ihre Fotos und Kontakte nicht spurlos verschwinden. Jetzt Gratis-Schutzpaket für Ihr Android sichern

Sämtliche Daten – Fotos, Dokumente, Kontakte – verschwinden unwiederbringlich. Besonders perfide: Das Zurücksetzen blockiert gleichzeitig alle Benachrichtigungen und Nachrichten. Die Opfer bemerken den Angriff erst mit erheblicher Verzögerung, wenn der digitale Schaden längst angerichtet ist.

Webcams als stille Zeugen

Laut GSC-Bericht enthält die Malware zusätzlich Funktionen zur Steuerung von Webcams und Mikrofonen auf befallenen PCs. Die Vermutung der Sicherheitsforscher: Die Hacker beobachten ihre Opfer visuell, um den optimalen Zeitpunkt für die Datenlöschung zu bestimmen. Eine Überwachung, die an Spionage-Thriller erinnert – nur dass sie bittere Realität ist.

Die zweite Welle: Vertrauen als Waffe

Nach der Neutralisierung des Primärziels beginnt Phase zwei. Mit den gestohlenen Zugangsdaten loggen sich die Angreifer in die PC-basierten Messenger-Konten der Opfer ein und versenden Schadsoftware an deren Kontakte. Die vermeintlich harmlosen Dateien tarnen sich als „Stressabbau-Programme” oder ähnliche Anwendungen.

Diese Taktik nutzt einen psychologischen Schwachpunkt aus: Menschen vertrauen Nachrichten von bekannten Kontakten. Die Infektionsrate steigt dadurch erheblich, ein Kaskadeneffekt entsteht.

Konkrete Fälle illustrieren die Gefahr: Ein südkoreanischer Psychologe wurde zum unfreiwilligen Verteiler der Malware, nachdem sein Konto gekapert wurde. Am 15. September traf es einen nordkoreanischen Menschenrechtsaktivisten – sein Smartphone wurde gelöscht, anschließend erhielten 36 seiner Kontakte über KakaoTalk infizierte Dateien.

Taktische Reife einer Cyberwaffe

Nordkoreanische Hacker-Gruppen wie Lazarus sind längst für destruktive Angriffe bekannt. Der Sony-Pictures-Hack 2014 und die globale WannaCry-Ransomware-Welle 2017 zeigen die Reichweite ihrer Fähigkeiten. Doch die aktuelle Kampagne markiert einen qualitativen Sprung.

Die Kombination aus langfristiger Aufklärung, Credential-Diebstahl, physischer Standortortung, Multi-Device-Neutralisierung und Social Engineering für die Verbreitung erreicht eine neue Dimension strategischer Koordination. Das GSC beschreibt die Methodik als Beleg für „taktische Reife und fortgeschrittene Verschleierungsstrategien”.

Das Ziel scheint nicht mehr primär finanzieller Gewinn oder Datendiebstahl zu sein. Vielmehr geht es um direkte, reale Schädigung von Individuen – insbesondere solchen, die das Regime als Gegner betrachtet. Menschenrechtsaktivisten stehen offenbar im Fadenkreuz.

Der Vorfall reiht sich in einen breiteren Trend ein: Unter dem Druck internationaler Sanktionen expandieren Pjöngjangs Cyber-Operationen in Umfang und Raffinesse, um Einnahmen zu generieren und geopolitische Interessen durchzusetzen.

Schutzmaßnahmen für Nutzer und Hersteller

Die hochgradig koordinierte Daten-Lösch-Malware stellt eine erhebliche Bedrohung dar. Das GSC empfiehlt dringend robuste Sicherheitsmaßnahmen: Zwei-Faktor-Authentifizierung für alle kritischen Konten aktivieren, keine Passwörter im Browser speichern und PCs bei Nichtgebrauch ausschalten, um Fernzugriffsfenster zu minimieren.

Für Gerätehersteller unterstreicht der Vorfall die Notwendigkeit, Multi-Faktor-Authentifizierungssysteme zu verstärken. Legitime Gerätemanagement-Features wie Remote-Wipe-Befehle dürfen nicht von Angreifern missbraucht werden können.

Die internationale Cybersecurity-Community beobachtet die Entwicklung mit wachsender Sorge. Solange staatlich geförderte Gruppen ihre Techniken kontinuierlich verfeinern, bleibt eine proaktive, mehrschichtige Sicherheitsstrategie unverzichtbar. Die Frage ist nicht mehr ob, sondern wann die nächste Eskalationsstufe erreicht wird.

PS: Wenn Sie verhindern wollen, dass Hacker Kamera, Mikrofon oder ganze Geräte übernehmen und Daten löschen, hilft ein kompakter Schritt-für-Schritt-Leitfaden. Der Gratis-Ratgeber zeigt praxisnahe Maßnahmen, die ohne teure Zusatz-Apps funktionieren – von sicheren Messenger-Einstellungen bis zu regelmäßigen Backups. Jetzt kostenlosen Android-Schutzratgeber anfordern