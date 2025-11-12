Der Find Hub, der früher als „Mein Gerät finden“-Netzwerk bekannt war, ist ein nützlicher Google-Service. Android-Nutzer:innen können ihre Geräte in dem Netzwerk anmelden und sehen so jederzeit auf einer Karte, wo sich verbundene Smartphones und Tablets befinden. Zudem könnt ihr aus der Ferne auf die Geräte zugreifen, was besonders bei Diebstählen von Android-Smartphones nützlich ist. Doch wie Sicherheitsexpert:innen zeigen, wird der Find Hub aktiv von Hacker:innen ausgenutzt, um User:innen zu schaden.

So werden Cyberangriffe mit Google Find Hub verschleiert

Die Erkenntnisse stammen dabei vom Sicherheitsunternehmen Genians, das Standorte in den USA, in den Vereinigten Arabischen Emiraten und in Südkorea hat. In einem ausführlichen Blog-Beitrag schildern sie, dass Hacker:innen aus Nordkorea, die als KONNI-Gruppe bekannt sind, vermehrt Angriffe gegen Individuen aus Südkorea gestartet haben. KONNI soll dabei ähnliche Ziele auswählen wie die Hackergruppen Kimusky und APT37, die allesamt Verbindungen zum nordkoreanischen Regime haben sollen.

Für die Angriffe nutzen die Hacker:innen die in Südkorea beliebte Messenger-App KakaoTalk. Dort geben sie sich zunächst als vertrauenswürdige Personen von Behörden wie dem Finanzamt oder der Polizei aus. Zu den Zielen gehören etwa psychologische Berater:innen, die Überläufer:innen aus Nordkorea betreuen, wenn sie nach Südkorea kommen. Diese Art des Phishings wird als Spear-Phishing bezeichnet. Die Hacker:innen greifen also gezielt kleinere Gruppierungen mit ihren Attacken an, statt sie gegen eine breite Masse von User:innen zu richten.

Die Angreifer:innen versenden unter einem Vorwand MSI-Dateien an die User:innen. So gab es etwa Angriffe, bei denen die Ziele angeblich die Datei öffnen mussten, um ein wichtiges Finanzdokument digital zu unterzeichnen. Beim Öffnen wird aber nur ein Fehler angezeigt. Auf Nachfrage bei dem vermeintlichen Finanzamt beteuern die Hacker:innen, dass es ein Irrtum war und die User:innen nichts weiter machen müssen. Währenddessen landen im Hintergrund mehrere Malware-Programme auf ihren Geräten.

Die so eingeschleuste Malware sammelt Informationen über die User:innen. Dazu gehören Konversationen über Mailprogramme sowie diverse Logins. Darunter findet sich auch der Zugang zum Google-Konto der Ziele. Sobald diese Informationen gestohlen wurden, können sich die Angreifer:innen in den Find Hub einloggen und zunächst den Standort der User:innen tracken. Wollen sie im Anschluss ihre Spuren verwischen, können die Geräte aus der Ferne zurückgesetzt und damit alle Daten gelöscht werden.

Über die Mail-Zugangsdaten wurde in einigen Fällen weitere Malware an Kontakte der User:innen verschickt, um die Schadsoftware weiter zu verbreiten. Wie Google gegenüber Bleeping Computer betont, handelt es sich dabei um keine Sicherheitslücke in Android oder im Find Hub, sondern um einen Phishing-Angriff. Um diesen zu erschweren, sollten User:innen 2FA-Methoden oder Passkeys einrichten und so ihr Konto zusätzlich vor Zugriffen schützen.

