Lurking Lizard: Cyberkampagne nutzt 230 Domains für illegales Proxy-Netzwerk
Veröffentlicht: 09.07.2026 um 15:47 Uhr, Redaktion boerse-global.de
Die als Lurking Lizard bekannte Gruppe schleust Schadsoftware über manipulierte Installationsprogramme beliebter Anwendungen ein. Betroffen sind unter anderem das Archivierungsprogramm 7-Zip und der VPN-Dienst WireVPN.
Die infizierten Geräte werden zu Proxy-Knoten in einem illegalen Netzwerk umfunktioniert. Kriminelle nutzen diese Infrastruktur, um ihren Datenverkehr über die IP-Adressen ahnungsloser Privatpersonen zu leiten – eine perfide Methode, um Sicherheitsfilter zu umgehen und geografische Sperren zu überwinden.
Über 230 Domains im Einsatz
Die Sicherheitsforscher von Infoblox haben die Infrastruktur der Angreifer detailliert analysiert. Das Netzwerk umfasst mehr als 230 Domains, die zur Verbreitung der Malware dienen. Besonders perfide: Die Gruppe nutzt eine Technik namens Drop-Catching, um abgelaufene Domainnamen zu erwerben, die noch über Vertrauenswürdigkeit oder Restverkehr verfügen.
Eine zentrale Verteilungsplattform war die Domain 7zip[.]com, die eine gefälschte Version des legitimen Open-Source-Tools anbot. Doch damit nicht genug: Die Angreifer haben auch offizielle App-Stores infiltriert. Eine manipulierte WireVPN-Anwendung wurde sowohl im Apple App Store als auch bei Google Play entdeckt. Allein im Google Play Store verzeichnete die App mehr als eine Million Downloads.
Millionen Deutsche nutzen täglich Apps und Online-Dienste auf ihrem Smartphone – doch ohne den richtigen Schutz werden die Geräte zum leichten Ziel für Kriminelle. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, um Ihr Android-Handy effektiv vor Viren und Datenmissbrauch abzusichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Professionelle Tarnung mit Fake-Bewertungen
Lurking Lizard hat ein ausgeklügeltes Ökosystem aufgebaut. Die Gruppe betreibt nicht nur Nachahmer-Domains bekannter Marken, sondern auch gefälschte Bewertungsseiten, die den Angeboten einen Anschein von Legitimität verleihen. Zudem wurden Domains identifiziert, die etablierte Proxy-Anbieter wie smartproxy[.]org und ipidea[.]org imitieren.
Dr. Renée Burton, Vice President of Threat Intelligence bei Infoblox, betont den kommerziellen Charakter des illegalen Proxy-Netzwerks. Die Forscher gehen davon aus, dass die Gruppe in China ansässig ist. Es bestehen Verbindungen zum Proxy-Dienst IPIDEA.
Das Geschäftsmodell dahinter
Das Prinzip ist einfach und erschreckend zugleich: Durch die Verbreitung trojanisierter Software kapern die Angreifer die Bandbreite ihrer Opfer. Dritte können gegen Bezahlung ihren Datenverkehr über die heimischen IP-Adressen der Infizierten leiten. Das macht es für Strafverfolgungsbehörden nahezu unmöglich, die tatsächlichen Täter zu identifizieren.
Was viele Smartphone-Besitzer unterschätzen: Kriminelle können Geräte unbemerkt ausspähen, wenn zu viele oder unsichere Apps installiert sind. Erfahren Sie in diesem gratis Leitfaden, wie Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker-Angriffe wappnen. Kostenlosen Sicherheits-Ratgeber herunterladen
Für deutsche Nutzer bedeutet dies: Selbst vermeintlich vertrauenswürdige Quellen wie offizielle App-Stores bieten keine absolute Sicherheit. Die Kampagne zeigt, wie professionell und langfristig Cyberkriminelle heute agieren. Ein genauer Blick auf Berechtigungen und ungewöhnliches Datenverhalten des eigenen Geräts kann helfen, eine Infektion frühzeitig zu erkennen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
