Technik

Hacker knacken Android und iOS Italiener verkaufen mobilen Staatstrojaner

KL_Grafik_HackingTeam_Serverlocations.jpg

Kaspersky Lab zeigt auf einer Weltkarte, wo sich RCS-C&C-Server befinden.

(Foto: Kaspersky Lab)

Die italienische Firma HackingTeam verkauft schon länger weltweit an Regierungen Spionage-Software. Jetzt stellt sich heraus, dass auch iPhones und Android-Smartphones nicht vor "Galileo" sicher sind.

Schon 2012 machte das italienische Unternehmen HackingTeam negative Schlagzeilen als herauskam, dass es Regierungen Überwachungs-Trojaner von der Stange verkauft. Der Schädling der Firma heißt schlicht und zutreffend "Remote Control System" (RCS) und ist auch als "Galileo" bekannt. Antivirenschutz-Anbieter Kaspersky hat jetzt zusammen mit Citizen Lab der University of Toronto herausgefunden, dass die Italiener inzwischen auch mobile Trojaner anbieten, die iOS- und Android-Geräte ausspionieren. Sie können ein infiziertes Gerät orten, damit Fotos machen, auf Kalendereinträge zugreifen oder neu eingelegte SIM-Karten registrieren. Außerdem fangen sie Telefongespräche ebenso ab wie SMS-Nachrichten oder Mitteilungen über Viber, WhatsApp und Skype ab. Zu den Opfern zählen laut Kaspersky "unter anderem Aktivisten und Menschenrechtler, aber auch Journalisten und Politiker."

Das HackingTeam entwickelt offenbar für jedes Ziel ein eigenes "Implantat", dass über verschiedene Wege auf die Geräte der Opfer geschmuggelt werden. Bei Android-Smartphones kann dies beispielsweise über einen infizierten Computer passieren, wenn das Gerät per USB synchronisiert wird. Die Malware findet dabei über ganz herkömmliche Methoden ihren Weg auf den PC: Phishing, Social Engineering, Exploits.

iPhones schwerer zu knacken

iPhones machen es Galileo etwas schwerer, so lange sich ein Nutzer nicht über einen sogenannten Jailbreak die Sicherheitsmechanismen außer Kraft gesetzt hat, um vollen Zugriff (Administratorrechte) auf sein System zu bekommen. Kaspersky rät daher dringend, am iPhone niemals selbst einem Jailbreak durchzuführen und außerdem die verwendete iOS-Software stets auf dem aktuellen Stand zu halten.

Opfer eines RCS-Angriffs bekommen von der Aktivität des Trojaners kaum etwas mit. Er versucht unter anderem, nicht durch einen erhöhten Stromverbrauch aufzufallen. Einige Spionagefunktionen werden erst dann aktiv, wenn bestimmte Situationen eintreten. Eine Audio-Aufzeichnung startet zum Beispiel nur, wenn sich das Gerät des Opfers mit einem bestimmten WLAN-Netzwerk (etwa dem am Arbeitsplatz) verbunden hat, wenn die SIM-Karte ausgetauscht wird, oder sich die Batterie gerade auflädt.

Kaspersky entdeckte über 320 RCS-C&C-Server in mehr als 40 Ländern, die Mehrheit in den USA, Kasachstan, Ecuador, Großbritannien und Kanada. "Die Tatsache, dass C&C-Server in ein bestimmten Land zu finden sind, bedeutet nicht automatisch, dass sie auch von den dortigen Strafverfolgungsbehörden genutzt werden", sagt Sergey Golovanov von Kaspersky Lab. "Allerdings macht es für die Anwender von RCS durchaus Sinn, die Server in Regionen einzusetzen, die sie kontrollieren können, damit sie nur ein minimales Risiko grenzübergreifender rechtlicher Probleme oder einer Beschlagnahmung der Server hätten."

Theoretisch schließt HackingTeam in seiner Customer Policy den Verkauf seiner Spionage-Software in Länder die von den USA, der EU, der UN, der NATO oder der ASEAN auf schwarze Listen gesetzt wurden, aus. Ebenso müssen sich Käufer an die Menschenrechte halten. Doch was hat dies schon zu bedeuten? Citizen Lab hat beispielsweise einen regen Einsatz von RCS für Android in Saudi-Arabien dokumentiert.

Quelle: n-tv.de, kwe

Mehr zum Thema