Überwachungsstaat 2.0 – Kaspersky findet Android Staatstrojaner

Der kürzlich von Kaspersky entdeckte Android-Trojaner verfügt über bisher nie dagewesene Spionagefunktionen. Der Name Skygofree bezieht sich auf die von den Hintermännern verwendete Domain. Laut Kaspersky ist der Trojaner „überfüllt mit Funktionen, von denen wir einige woanders noch nicht gesehen haben.“ Die Spyware kann unteranderem abhängig vom Standort des Gerätes das Mikrofon aktivieren und so die Umgebung überwachen und Gespräche aufzeichnen.

Außerdem kann sie Nachrichten aus zahlreichen Messaging-Apps, darunter befinden sich auch WhatsApp, Viper, Skype und der Facebook-Messenger, aufzeichnen und selbständig die Frontkamera aktivieren, um Fotos vom jeweiligen Nutzer zu machen. Im Kaspersky Blog heißt es dazu: „In der Praxis bedeutet das, dass die Angreifer ihre Opfer abhören können, wenn sie beispielsweise das Büro betreten oder ihren Chef zu Hause besuchen.“ Um die Kommunikation mit den Hintermännern stets aufrecht zu erhalten, verbindet der Trojaner infizierte Smartphones mit ebenfalls von den Angreifern kontrollieren WLAN-Netzen. Dies geschieht auch, wenn der Nutzer das WLAN eigentlich deaktiviert hat. Es kann so der Datenverkehr der Opfer mitgeschnitten werden, um so an Logindaten und Kreditkartendaten zu gelangen.

Kaspersky hat die erste Version de Trojaners Ende Oktober 2017 entdeckt. Inzwischen ist eine aktualisierte Version bereits für die neueste Android Version 8.0 Oreo angepasst worden. Eigentlich schaltet Android 8.0 Oreo nicht benutzte Hintergrundprozesse automatisch ab. Da der Trojaner jedoch zur vollständigen Überwachung ohne Unterbrechung aktiv sein muss, löst er in regelmäßigen Intervallen eine falsche Update-Nachricht aus, die verhindert, dass das mobile Betriebssystem den Prozess beendet. Andere Energiespartechniken kann Skygofree ebenfalls umgehen.

Um an die WhatsApp Nachrichten zu gelangen, missbraucht der Trojaner die in Android enthaltenen Accessibility Services, die eigentlich behinderten Leuten bei der Bedienung des Smartphones helfen sollen. Die Malware braucht zur Aktivierung dieser Funktion jedoch erst die Zustimmung der Nutzer, die sie durch eine harmlos wirkende Abfrage erhält. Nach der Zustimmung kann die Malware damit den Bildschirminhalt auslesen. Weitere Funktionen, die jedoch auch in etlichen anderen Trojanern vorhanden sind, sind das Abfangen von Telefonaten und SMS sowie das Auslesen des Kalenders.

Kaspersky die den Trojaner ausführlich analysiert haben, kamen zu dem Schluss, dass der Trojaner seit 2014 im Einsatz ist und seitdem ständig weiterentwickelt wurde. Kaspersky ergänzte: Es hat sich von einer recht einfachen Malware zu einer vollwertigen, multifunktionalen Spyware entwickelt.“ Die Verbreitung erfolgt über gefälschte Webseiten verschiedener Mobilfunkanbieter. Ahnungslose Nutzer laden den Trojaner dort herunter, weil ihnen eine Verbesserung der Internetgeschwindigkeit versprochen wird. Nutzer die auf diesen Trick hereinfallen und die Malware installieren, bekommen noch während der Installation eine Meldung über die Einrichtung eines entsprechenden Updates eingeblendet, der es für technisch nicht versierte Personen fast unmöglich macht den Trojaner als solches zu erkennen.

Die Entwickler des Trojaners sind bisher noch nicht bekannt. Aufgrund der großen Komplexität geht Kaspersky aber davon aus, dass Skygofree von einem IT-Unternehmen und nicht von einer Einzelperson oder einer kleinen Gruppe geschrieben wurde. Es ist wahrscheinlich, dass ein Unternehmen wie Hacking-Team dafür verantwortlich ist. Hacking-Team ist ein in Italien beheimatetes Unternehmen, dass Regierungen mit Spionagesoftware versorgt. Es war 2015 in den Medien, da es selber Opfer eines Hackerangriffs wurde, bei dem zahlreiche geheime Daten entwendet wurden. Außerdem wurde Skygofree bisher nur in Italien entdeckt. Es lässt also alles darauf schließen, dass der Trojaner für eine italienische Behörde entwickelt wurde.