Multiplattform-Spion hangelt sich auf Smartphones und VMs
Die Schnüffelsoftware Crisis infiziert nicht nur Windows und Mac OS X, sondern versucht sich auch in virtuellen Maschinen niederzulassen. Darüber hinaus kann sie Module auf Windows-Mobile-Geräten installieren.
- Ronald Eikenberg
Ende Juli haben Virenforscher einen Trojaner namens Crisis (auch als Morcut bekannt) entdeckt, der Nutzer von Windows und Mac OS X auf vielfältige Weise ausspionieren kann. Der Schädling installiert eine Backdoor und versteckt sich anschließend mittels Rootkit-Funktionen auf dem System. Crisis bringt umfangreiche Spionagefunktionen mit, etwa um Skype-Gespräche abzuhören, Tastatureingaben abzufangen und die Webcam anzuzapfen.
Die Antivirenfirma Symantec hat nun herausgefunden, dass der Schädling unter Windows noch einige weitere interessante Tricks auf Lager hat: So soll sich Crisis auf die Suche nach VMware-Images machen und diese mit einer Kopie seiner selbst infizieren. Darüber hinaus soll der Trojaner über das sogenannte Remote Application Programming Interface (RAPI) auch Module auf Geräten mit Windows Mobile, dem Vorläufer von Microsofts aktueller Smartphone-Plattform Windows Phone, installieren. Was die Module dort genau ausrichten können, ist derzeit noch unklar – sie haben noch nicht den Weg in Symatecs Virenlabor gefunden.
Verteilt wurde der Schädling offenbar durch Social Engineering mit Hilfe der Java-Datei AdobeFlashPlayer.jar, welche mit einem selbst signierten VeriSign-Zertifikat signiert war. Hat man die Datei ausgeführt und durch das selbst signierte Zertifikat hervorgerufene Fehlermeldung ignoriert, wurde entweder eine Payload für Windows oder Mac OS X ausgeführt – abhängig davon, auf was für einem System die Datei gestartet wurde.
Auffällig ist, dass das Spionageprogramm bislang von keinem der namhaften Antivirenhersteller in freier Wildbahn gesichtet wurde. Die Samples wurden bei dem Antivirendienst VirusTotal hochgeladen, der sie den Virenlaboren überlassen hat. Die geringe Verbreitung deutet darauf hin, dass der Spion nur für gezielte Einsätze genutzt wurde, vergleichbar mit dem kommerziellen Trojanerbaukasten FinSpy von Finfisher. Laut Dr. Web handelt es sich bei dem jüngsten Fund um das Remote Control System alias Da Vinci der italienischen Firma HackingTeam.
Der Hersteller bewirbt sein Spionagetool als "Hacking-Suite für staatliche Überwachungen" und verspricht in der Produktbroschüre (PDF) unter anderem, dass es sich zum Abhören von Skype-Telefonaten eignet. Neben Windows und Mac OS X soll Da Vinci auch iOS, Android, Blackberry, Symbian und Linux unterstützen. Vergrößert man die in der Broschüre enthaltenen Screenshots, wird klar, dass offenbar Da Vinci auch den Aufenthaltsort der überwachten Personen ausspionieren kann. (rei)
