Der russische IT-Security-Spezialist Kaspersky Lab hat die Existenz einer umfangreichen internationalen Spionageinfrastruktur aufgedeckt. Wichtiger Bestandteil sind bislang noch unbekannte Trojaner für die Betriebssysteme Android und Apple IOS.

Die Mobilgeräte-Trojaner snd Teil der Spionagesoftware Remote Control System (RCS), auch Galileo genannt, entwickelt vom italienischen Hersteller Hackingteam. Zu den Opfern zählen unter anderem Aktivisten und Menschenrechtler, aber auch Journalisten und Politiker. Kaspersky Lab führte die Untersuchung gemeinsam mit Citizen Lab durch.

 

Die neu identifizierten mobilen RCS-Trojaner verfügen laut Kaspersky Lab über eine ganze Palette von Überwachungsmöglichkeiten: Sie können ein infiziertes Gerät orten, damit Fotos machen, auf Kalendereinträge zugreifen oder neu eingelegte SIM-Karten registrieren. Außerdem fangen sie Telefongespräche ebenso ab wie SMS-Nachrichten oder Mitteilungen über Viber, Whatsapp und Skype.

Wenn ein Ziel über das Galileo-RCS ausspioniert werden soll, wird ein eigenes, dem Angriffszweck angepasstes Malware-Implantat entwickelt, das anschließend noch auf dem mobilen Gerät des Opfers zu installieren ist. Dazu arbeiten die Angreifer gezielt mit Spear-Phishing und Methoden des Social Engineerings, oft ergänzt durch Exploits (inklusive Zero-Day-Schwachstellen) und lokale Angriffe über USB, während mobile Geräte mit einem Computer synchronisiert werden.

Eine weitere wichtige Entdeckung der russischen Forscher ist die Methode, mit der die mobilen Trojaner Iphones infizieren. Dafür muss laut Kaspersky-Angaben das serienmäßig für bestimmte Funktionen gesperrte IOS-Gerät zunächst einem Jailbreak unterzogen (Aufhebung der Betriebssystemsperre).

 

Dies kann allerdings inzwischen etwa mit dem Tool Evasi0n auch über bereits infizierte Rechner aus der Ferne erfolgen, gefolgt von einer Infektion. Die Experten von Kaspersky Lab raten daher dringend, am Iphone niemals selbst einem Jailbreak durchzuführen und außerdem die verwendete IOS-Software stets auf dem aktuellen Stand zu halten.

Des Weiteren haben die Entwickler der RCS-Trojaner laut Kaspersky sehr genau darauf geachtet, dass die Schadsoftware nicht entdeckt wird. So wurde zum Beispiel versucht, die Gerätebatterie möglichst zu schonen.

 

Einige Spionagefunktionen werden etwa erst dann aktiv, wenn bestimmte Situationen eintreten. Eine Audioaufzeichnung startet zum Beispiel nur, wenn sich das Gerät des Opfers mit einem bestimmten WLAN (etwa dem am Arbeitsplatz) verbunden hat, wenn die SIM-Karte ausgetauscht wird oder sich die Batterie gerade auflädt.

Der Infrastruktur auf der Spur
Dass Hackingteam mobile Trojaner für die Betriebssysteme Android und IOS herstellt, war seit Längerem bekannt. Die Schadsoftware wurde jedoch noch nie bei einem Angriff entdeckt und identifiziert.

Auch die Experten von Kaspersky Lab beschäftigen sich schon seit Jahren mit der RCS-Malware. Sie konnten laut eigenen Angaben in diesem Jahr zunächst einige Samples mobiler Module identifizieren, die zu den zu vorher gefundenen Konfigurationsdateien der RCS-Malware passten. Zuletzt wurden weitere Sample-Varianten über das Cloud-basierte Kaspersky Security Network (KSN) gemeldet, bei dem Informationen zu Angriffen auf Kaspersky-Kunden anonym, vertraulich und auf freiwilliger Basis erhoben werden.

Für die Identifikation der Command-and-Control-Server (C&C) von Galileo arbeitete Kaspersky Lab mit verschiedenen Ansätzen. Die Sicherheitsexperten stützten sich auf spezielle Indikatoren und Verbindungsdaten, die sie über die Analyse bekannter Malware-Samples erhielten. Bei ihrer jüngsten Analyse entdeckte Kaspersky Lab über 320 RCS-C&C-Server in mehr als 40 Ländern. Die Mehrheit der C&C-Server war in den USA, Kasachstan, Ecuador, Großbritannien und Kanada beheimatet.

„Die Tatsache, dass C&C-Server in ein bestimmten Land zu finden sind, bedeutet natürlich nicht automatisch, dass sie auch von den dortigen Strafverfolgungsbehörden genutzt werden“, erklärt Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. Allerdings mache es für die Anwender von RCS durchaus Sinn, die Server in Regionen einzusetzen, die sie kontrollieren können, damit sie nur ein minimales Risiko grenzübergreifender rechtlicher Probleme oder einer Beschlagnahmung der Server hätten.
 

Weitere Informationen finden sich unter www.securelist.com/en/blog/8231/Hackingteam_2_0_The_Story_Goes_Mobile.

Die Landkarte zeigt die Lokationen der entdeckten RCS-C&C-Server. Bild: Kaspersky Lab