Kaspersky: Mobile Spionage-Tools immer raffinierter

Kaspersky Lab hat eine umfangreiche Spionage-Infragstruktur aufgedeckt.
Bild: dpa Kaspersky Lab hat vor einigen Tagen die Existenz einer umfangreichen internationalen Spionageinfrastruktur aufgedeckt, mit der mobile Geräte überwacht werden können. Kaspersky Lab entdeckte mobile Trojaner für die Betriebssysteme Android und iOS, die Bestandteil der Spionage-Software Remote Control System (RCS) sind, die auch als Galileo bezeichnet wird. Diese Software wird von dem italienischen Hersteller HackingTeam entwickelt. Zu den Spionageopfern zählen unter anderem Aktivisten und Menschenrechtler, aber auch Journalisten und Politiker. Kaspersky Lab hat die Untersuchung gemeinsam mit Citizen Lab durchgeführt.

Die von Kaspersky Lab neu identifizierten mobilen RCS-Trojaner verfügen über eine ganze Palette von Überwachungsmöglichkeiten. Sie können infizierte Geräte orten, damit Fotos machen, auf Kalendereinträge zugreifen oder neu eingelegte SIM-Karten registrieren. Außerdem taugen sie natürlich auch, um Telefongespräche und SMS-Nachrichten oder Mitteilungen über andere Messaging-Dienste abzufangen.

Für Angriffe mit dem Galileo-RCS werden jeweils eigene, speziell angepasste Malware-Implantate entwickelt, die anschließend auf dem jweiligen mobilen Endgerät des Opfers installiert werden müssen. Dazu arbeiten die Angreifer sowohl mit Spear-Phishing und Methoden des Social Engineering sowie lokalen Angriffen über die USB-Schnittstelle, während die Geräte mit einem Computer synchronisiert werden.

Um die mobilen Trojaner von Galileo auf iPhones zu bringen, müssen die iOS-Geräte zuerst einem Jailbreak unterzogen werden, weil sonst keine von Apple nicht zertifizierte Anwendungen aufgespielt werden können. Das kann allerdings inzwischen auch über bereits infizierte Rechner aus der Ferne erfolgen. Die Experten von Kaspersky Lab raten daher dringend davon ab, das iPhone selbst mit einem Jailbreak für Fremdanwendungen zu öffnen. Und natürlich gilt auch hier der Rat, die verwendete iOS-Software stets auf dem aktuellen Stand zu halten.

Laut Kaspersky haben die Entwickler der mobilen Trojaner von RCS peinlich genau darauf geachtet, dass die Schadsoftware nicht entdeckt werden kann. So wurde zum Beispiel versucht, den Akku möglichst wenig zu belasten. Einige Spionagefunktionen werden deshalb erst dann aktiv, wenn bestimmte Situationen eintreten. Eine Audio-Aufzeichnung startet zum Beispiel nur, wenn sich das Gerät des Opfers mit einem bestimmten WLAN-Netzwerk (etwa dem am Arbeitsplatz) verbunden hat, wenn die SIM-Karte ausgetauscht wird oder wenn die Batterie gerade aufgeladen wird.

Zahlreiche Command-and-Control-Server

Kaspersky Lab hat eine umfangreiche Spionage-Infragstruktur aufgedeckt.
Bild: dpa Dass die Firma HackingTeam mobile Trojaner für die Betriebssysteme Android und iOS herstellt, war seit längerem bekannt. Die Schadsoftware wurde bisher allerdings noch nie bei einem Angriff entdeckt und identifiziert. Die Experten von Kaspersky Lab beschäftigen sich schon seit Jahren mit der RCS-Malware. Sie konnten in diesem Jahr zunächst einige Samples mobiler Module identifizieren, die zu den zu vorher gefundenen Konfigurationsdateien der RCS-Malware passten. Zuletzt wurden weitere Sample-Varianten über das Cloud-basierte Kaspersky Security Network (KSN) gemeldet. Das KSN dient dazu, Informationen zu Cyberattacken auf Kaspersky-Kunden zu erheben und auszuwerten. Die Datenerhebung erfolgt anonym, vertraulich und auf freiwilliger Basis.

Für die Identifikation der Command-and-Control-Server (C&C) von Galileo arbeitete Kaspersky Lab mit verschiedenen Ansätzen. Die Sicherheitsexperten haben spezielle Indikatoren und Verbindungsdaten benutzt, die sie über die Analyse von bekannten Malware-Samples erhielten. Bei ihrer jüngsten Analyse entdeckte Kaspersky Lab über 320 RCS-C&C-Server in mehr als 40 Ländern. Die meisten C&Cs befanden sich in den USA, Kasachstan, Ecuador, Großbritannien und Kanada.

"Die Tatsache, dass C&C-Server in ein bestimmten Land zu finden sind, bedeutet natürlich nicht automatisch, dass sie auch von den dortigen Strafverfolgungsbehörden genutzt werden", erklärt Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. "Allerdings macht es für die Anwender von RCS durchaus Sinn, die Server in Regionen einzusetzen, die sie kontrollieren können, damit sie nur ein minimales Risiko grenzübergreifender rechtlicher Probleme oder einer Beschlagnahmung der Server hätten."

Laut eigenen Angaben können die Produkte von Kaspersky Lab die RCS/DaVinci/Galileo Spionage-Software-Tools unter den Bezeichnungen Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir und Backdoor.AndroidOS.Criag erkennen und abwehren.

Die Firma HackingTeam ist keineswegs das einzige Unternehmen, das maßgeschneiderte Überwachungssoftware entwickelt und verkauft. Und es gibt auch zahlreiche Firmen, die zwar keine geheimen Staatstrojaner, dafür aber Diagnose- und Trackingsoftware beispielsweise für Marktforschungsunternehmen oder Netzbetreiber entwickeln. So erregte vor einigen Jahren die US-Firma CarrierIQ Aufmerksamkeit, weil sie damit warb, viele Millionen Android-Smartphones überwachen zu können - allein zur Qualitätssicherung, wie das Unternehmen versicherte. Warum zur Qualitätssicherung aber unzählige private SMS mitgeschnitten und auf Firmenserver übertragen wurden, konnte das Unternehmen damals nicht erklären.

Als Nutzer morderner Kommunikationsmittel sollte man allerdings ohnehin im Hinterkopf haben, dass das eigene Smartphone auch ohne zusätzliche Schnüffelsoftware schon jede Menge über seinen Nutzer verraten kann.