Das Smartphone ist aus dem Alltag vieler Menschen nicht mehr wegzudenken. Entsprechend viele private Informationen sind darauf gespeichert, was das Ganze wiederum zu einem äußerst interessanten Ziel für Kriminelle und staatliche Überwacher macht. Die Sicherheitsforscher von Kaspersky sind dabei nun auf eine neue Spionagesoftware gestoßen, die alles bisher Dagewesene in den Schatten stellt.

Rundumüberwachung

Skygofree hat es auf Android-Smartphones abgesehen, und kann dabei mit einer Fülle unterschiedlicher Überwachungsmöglichkeiten aufwarten – insgesamt 48 an der Zahl. Die Palette reicht vom simplen Abgreifen lokaler Daten wie Fotos, Textnachrichten, Location-Daten und Chatverläufen bis zu fortgeschrittenen Spionagefunktionen. So ist es etwa möglich, automatisch das Mikrofon zu aktivieren und sämtliche Gespräche im Umfeld mitzuschneiden, wenn der Besitzer einen bestimmten Ort betritt.

Doch auch sonst kennt Skygofree Funktionen, die über das bisher von solchen Spionageprogrammen Bekannte hinausgehen: So ist es etwa möglich Whatsapp-Nachrichten zu stehlen, indem Android-Funktionen zur Barrierefreiheit missbraucht werden. Zudem kann der Trojaner das jeweilige Gerät dazu zwingen, sich mit gewissen WLAN-Netzen – also offenbar welchen, die unter Kontrolle der Überwacher stehen – zu verbinden.

Laufend aktualisiert

Die erste Version der Schadsoftware scheint bereits auf das Jahr 2014 zurückzugehen, seitdem wurde sie allerdings kontinuierlich erweitert. Wie andere Tools dieser Kategorie auch, nutzt sie immer neue Angriffsroutinen, um sich auf einem Smartphone zu verankern. Die von Kaspersky untersuchte Version aus dem Jahr 2017 liefert etwa gleich fünf Root-Exploits mit, die der Reihe nach ausprobiert werden, um die Software fix auf dem Gerät zu verankern.

Kontrolle

Natürlich kann Skygofree auch von außen kontrolliert und aktualisiert werden, hierzu bietet die Malware gleich vier Wege, um eine sichere Kommunikation zu erlauben. Dazu zählen HTTP, XMPP, SMS, aber auch das unter Android sonst für Push-Benachrichtigungen eingesetzte Firebase Cloud Messaging. Die Malware tut dabei einiges, um möglichst unentdeckt zu bleiben, so wird die Schadsoftware erst stückweise auf das Gerät geladen, womit man wohl eine frühe Entdeckung verhindern will.

Verbreitung

Die Verbreitung scheint dabei sehr gezielt zu erfolgen. So haben die Sicherheitsforscher speziell eingerichtete Webseiten gefunden, die vorgeben, von Mobilfunkern wie Vodafone oder "3" zu sein, und die User zur manuellen Installation einer eigenen Android-Software bringen wollen – hinter der dann in Wirklichkeit der Trojaner steckt. Üblicherweise werden die Zielpersonen solcher Angriffe über Phishing-Attacken auf solche Seiten gelockt.

Spurensuche

Bleibt die Frage, wer hinter dieser Software steht, und hier wird es durchaus spannend: So geht Kaspersky davon aus, dass die Malware vom italienischen Softwarehersteller Negg International entwickelt wurde, darauf lasse sich aufgrund einer im Code referenzierten Website schließen, die unter Kontrolle der Firma steht. Was das Unternehmen genau macht, ist offiziell nicht klar, der Verdacht liegt aber nahe, dass der Verkauf von solcher Profi-Überwachungs-Tools den Kern des Geschäftsmodells bildet. Üblicherweise sind staatliche Überwacher Hauptabnehmer solcher Firmen.

Hacking Team

Der Bericht weckt Erinnerungen an ein anderes italienisches Unternehmen: Das "Hacking Team" war vor einigen Jahren selbst zum Ziel von Angreifern geworden, wobei ein Wust an internen Daten veröffentlicht wurden. Dabei zeigte sich, dass die Firma ihre Spionagetools zum Teil auch an autoritäre Regimes verkauft hatte, und auch sonst vor keinem noch so zweifelhaften Deal zurückschreckte. Hacking Team verlor seitdem die Exportlizenz, die für den Betrieb des Handels mit staatlicher Spionagesoftware vonnöten ist.

Vorgeschichte

Um den ersten Staatstrojaner für Android handelt es sich bei Skygofree übrigens nicht, hier gibt es noch eine Reihe anderer Firmen, die ähnliches anbieten. So ist etwa bereits im Jahr 2016 eine Software namens Pegasus aufgeflogen, die von der NSO Group entwickelt wurde – und zwar neben Android auch für iPhones. (Andreas Proschofsky, 17.1.2018)