2324374

Skygofree: Raffinierte Malware spioniert Android aus

17.01.2018 | 10:59 Uhr |

Kaspersky warnt vor dem Spionageprogramm Skygofree. Die leistungsfähige Malware infiziert Android-Geräte und vielleicht auch Windows-PCs. Angreifer können Chats, beispielsweise über Whatsapp, mitlesen, das Mikrofon heimlich und in Abhängigkeit vom Standort einschalten und die Frontkamera des Androiden aktivieren.

Das russische Sicherheitsunternehmen Kaspersky Lab hat laut eigenen Angaben Anfang Oktober 2017 eine Art Staatstrojaner in freier Wildbahn entdeckt. Also eine Spionage-Software, die Sicherheitsbehörden zum Ausspähen von Smartphones und Computern verwenden können.

Kaspersky hat die Spionage-Software auf den Namen Skygofree getauft. Sie soll seit dem Jahr 2014 aktiv sein und wurde seitdem ständig weiterentwickelt. Mittlerweile bietet das Spionageprogramm 48 verschiedene Befehle für Angreifer. Es stellt laut Kaspersky. eines der leistungsfähigsten Überwachungstools dar, das die Sicherheitsexperten bisher für Android entdeckt haben. Das Spionageprogramm würde sich für die zielgerichtete Überwachung konkret ausgewählter Personen eignen, wie die russischen Sicherheitsexperten meinen.

In erster Linie zielt Skygofree auf Android-Geräte ab. Die Angreifer scheinen allerdings auch Windows-Rechner angreifen zu wollen, denn Kaspersky Lab entdeckte eine Reihe von für Windows entwickelte Module in dem Code.

So greift Skygofree an

Skygofree kann standortbasierte Audioaufnahmen über infizierte Geräte machen. Es schaltet dazu heimlich das Mikrofon des gekaperten Smartphones ein und nimmt dann alle Geräusche und Gespräche auf, wenn es an einen bestimmten Ort gelangt. 

Skygofree überwacht außerdem verschiedene Messenger und kann auch Whatsapp-Nachrichten lesen. Skygofree nutzt hierfür die „Accessibility Services“, die eigentlich dafür gedacht sind Menschen mit körperlichen Einschränkungen bei der Bedienung eines Android-Geräts zu helfen. Über die Funktion lassen sich unter anderem Bildschirminhalte auslesen. Skygofree holt sich die Erlaubnis dafür vom Besitzer des Smartphones, indem es eine harmlos erscheinende Anfrage einblendet. Skygofree knackt also nicht die Verschlüsselung von Whatsapp, sondern umgeht sie, indem es auf die Bildschirminhalte zugreift.

Skygofree verfügt über mehrere Exploits für den Root-Zugriff und ist auch in der Lage, Bilder und Videos aufzunehmen sowie Anruferlisten, SMS-Nachrichten, Standortlokalisierung, Kalenderereignisse und geschäftsbezogene Informationen, die sich im Gerätespeicher befinden, zu erfassen. Skygofree ermöglicht es dem Angreifer das infizierte Gerät fernzusteuern und zum Beispiel die Frontkamera des Smartphones zu verwenden. Die Angreifer können das infizierte Gerät auch mit von ihnen kontrollierten WLANs verbinden. Dazu können sie sogar die WLAN-Funktion einschalten, wenn der Benutzer diese auf seinem Androiden ausgeschaltet hat. Über das heimlich zwischengeschaltete WLAN sind dann Man-in-the-Middle-Angriffe und Sniffing-Attacken möglich (also das Mitlesen/Speichern des Datenverkehrs, wobei eine eventuell vorhandene Verschlüsselung der Daten aber nicht geknackt wird).

Das Schadprogramm kann laut Kaspersky den bei führenden Geräteherstellern eingebauten Batteriesparmodus umgehen. Es fügt sich hierzu automatisch in die Liste der "geschützten Apps" ein, so dass es bei ausgeschaltetem Bildschirm nicht automatisch beendet wird und weiterlaufen kann, wie Kaspersky erklärt.

So verbreitet sich Skygofree

Skygofree infiziert das Smartphone der Opfer, indem diese sich unbemerkt Schadsoftware von gefakten Webseiten herunterladen. Skygofree tarnt sich dabei als Updates, die angeblich die Mobilfunkgeschwindigkeit verbessern sollen. Die Webseiten ahmen die Webauftritte von führenden Mobilfunknetzbetreibern nach, in dem Beispiel oben werden in Italien tätige Mobilfunkprovider nachgeahmt. Die meisten für die Verbreitung der Spionagesoftware verwendeten gefälschten Landingpages wurden im Jahr 2015 registriert, die letzte Domain wurde im Oktober 2017 registriert. Laut den Daten von Kaspersky Lab gab es bis heute mehrere Opfer in Italien. Italien soll laut Kaspersky das Ursprungsland von Skygofree sein.

Kaspersky vermutet nach einer Code- und Infrastrukturanalyse, dass Skygofree von einem italienischen IT-Unternehmen stammt, das Überwachungslösungen anbietet, ähnlich wie das italienische Unternehmen Hacking Team. Hacking Team liefert Spionage- Software an viele Regierungen dieser Welt. 2015 wurde das Unternehmen aber selbst von Hackern angegriffen.

Eine ausführliche Analyse von Skygofree hat Kaspersky Lab hier veröffentlicht.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2324374