Kaspersky Lab deckt neue mobile Spionage-Software von HackingTeam für Android- und iOS-Geräte auf

24.06.2014

Moskau/lngolstadt, 24. Juni 2014 – Kaspersky Lab bestätigt mit einem heute veröffentlichten Bericht ⁽¹⁾ die Existenz einer umfangreichen internationalen Spionageinfrastruktur. Wichtiger Bestandteil sind bislang noch unbekannte von Kaspersky Lab entdeckte mobile Trojaner für die Betriebssysteme Android und iOS, die Teil der Spionage-Software Remote Control System (RCS) – auch Galileo genannt – sind. Die Software wird von dem italienischen Hersteller „HackingTeam“ speziell entwickelt. Zu den Opfern zählen unter anderem Aktivisten und Menschenrechtler, aber auch Journalisten und Politiker. Kaspersky Lab führte die Untersuchung gemeinsam mit Citizen Lab durch.

Umfangreiche Spionagefunktionen
Generell verfügen die von Kaspersky Lab neu identifizierten mobilen RCS-Trojaner über eine ganze Palette von Überwachungsmöglichkeiten. Sie können ein infiziertes Gerät orten, damit Fotos machen, auf Kalendereinträge zugreifen oder neu eingelegte SIM-Karten registrieren. Außerdem fangen sie Telefongespräche ebenso ab wie SMS-Nachrichten oder Mitteilungen über Viber, WhatsApp und Skype ab.

Wenn ein Ziel über das Galileo-RCS ausspioniert werden soll, wird ein eigenes, dem Zweck des Angriffs angepasstes Malware-Implantat entwickelt, welches anschließend noch auf dem mobilen Gerät des Opfers installiert werden muss. Dazu arbeiten die Angreifer gezielt mit Spear-Phishing und Methoden des Social Engineering; oftmals ergänzt durch Exploits (inklusive Zero-Day-Schwachstellen) und lokalen Angriffen über USB, während mobile Geräte mit einem Computer synchronisiert werden.

Eine weitere wichtige Entdeckung ist die Methode, mit der die mobilen Trojaner von Galileo iPhones infizieren. Dafür muss das serienmäßig für bestimmte Funktionen gesperrte iOS-Gerät zunächst einem sogenannten Jailbreak unterzogen, also freigeschaltet werden. Dies kann allerdings inzwischen, etwa mit Hilfe des Tools „Evasi0n“, auch über bereits infizierte Rechner aus der Ferne erfolgen, gefolgt von einer Infektion.

Die Experten von Kaspersky Lab raten daher dringend, am iPhone niemals selbst einem Jailbreak durchzuführen und außerdem die verwendete iOS-Software stets auf dem aktuellen Stand zu halten.

Weiterhin haben die Entwickler der mobilen Trojaner von RCS sehr genau darauf geachtet, dass die Schadsoftware nicht entdeckt wird. So wurde zum Beispiel versucht, die Gerätebatterie möglichst zu schonen. Einige Spionagefunktionen werden etwa erst dann aktiv, wenn bestimmte Situationen eintreten. Eine Audio-Aufzeichnung startet zum Beispiel nur, wenn sich das Gerät des Opfers mit einem bestimmten WLAN-Netzwerk (etwa dem am Arbeitsplatz) verbunden hat, wenn die SIM-Karte ausgetauscht wird, oder sich die Batterie gerade auflädt.

Der Infrastruktur auf der Spur
Dass die Firma HackingTeam mobile Trojaner für die Betriebssysteme Android und iOS herstellt, war seit längerem bekannt. Die Schadsoftware wurde jedoch noch nie bei einem Angriff entdeckt und identifiziert.

Auch die Experten von Kaspersky Lab beschäftigen sich schon seit Jahren mit der RCS-Malware. Sie konnten in diesem Jahr zunächst einige Samples mobiler Module identifizieren, die zu den zu vorher gefundenen Konfigurationsdateien der RCS-Malware passten. Zuletzt wurden weitere Sample-Varianten über das Cloud-basierte Kaspersky Security Network (KSN) gemeldet, bei dem Informationen zu Cyberattacken auf Kaspersky-Kunden anonym, vertraulich und auf freiwilliger Basis erhoben werden ⁽²⁾.

Für die Identifikation der Command-and-Control-Server (C&C) von Galileo arbeitete Kaspersky Lab mit verschiedenen Ansätzen. Die Sicherheitsexperten stützten sich auf spezielle Indikatoren und Verbindungsdaten, die sie über die Analyse von bekannten Malware-Samples erhielten. Bei ihrer jüngsten Analyse entdeckte Kaspersky Lab über 320 RCS-C&C-Server in mehr als 40 Ländern. Die Mehrheit der C&Cs war in den USA, Kasachstan, Ecuador, Großbritannien und Kanada beheimatet.

„Die Tatsache, dass C&C-Server in ein bestimmten Land zu finden sind, bedeutet natürlich nicht automatisch, dass sie auch von den dortigen Strafverfolgungsbehörden genutzt werden“, erklärt Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. „Allerdings macht es für die Anwender von RCS durchaus Sinn, die Server in Regionen einzusetzen, die sie kontrollieren können, damit sie nur ein minimales Risiko grenzübergreifender rechtlicher Probleme oder einer Beschlagnahmung der Server hätten.“

Die Produkte von Kaspersky Lab erkennen die RCS/DaVinci/Galileo Spionage-Software-Tools unter den folgenden Namen: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir und Backdoor.AndroidOS.Criag.

⁽¹⁾ http://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile
⁽²⁾ Die Analyse von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern.

Über Kaspersky Lab
Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Das Unternehmen zählt zu den vier erfolgreichsten Herstellern von Sicherheitslösungen für Endpoint-Nutzer.^* In seiner über 16-jährigen Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet effektive digitale Sicherheitslösungen für Großunternehmen, KMU und Heimanwender. Kaspersky Lab, mit Holding in Großbritannien, ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit. Weitere Informationen zu Kaspersky Lab finden Sie unter http://www.kaspersky.com/de/.

^* The company was rated fourth in the IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. The rating was published in the IDC report „Worldwide Endpoint Security 2013–2017 Forecast and 2012 Vendor Shares (IDC #242618, August 2013). The report ranked software vendors according to earnings from sales of endpoint security solutions in 2012.