FinFisher-Trojaner auch für iOS und Android gesichtet
Mobile Varianten des kommerziellen FinFisher-Trojaners zielen auf BlackBerry, Windows Mobile, Symbian, Android und iOS. Offenbar sind die Spionageprogramme bereits im Einsatz; Forscher zählen zehn Kontrollserver.
- Gerald Himmelein
Offensichtlich sind derzeit mobile Varianten des kommerziellen Trojaners FinSpy im Umlauf. Die Forscher des Citizen Lab von der Universität von Toronto berichten, FinSpy Mobile sowohl für Android, BlackBerry, iOS, Symbian und Windows Mobile gesichtet zu haben. Die Position der Kontrollserver legt Einsatzgebiete im Nahen Osten nahe.
Hersteller der kommerziellen Spyware FinFisher ist Gamma International; die Entwicklung findet wohl in in Deutschland statt. Die Firma verkauft ihren Trojaner-Baukasten an Regierungen. Er soll derzeit alle größeren Betriebssysteme abdecken, einschließlich Linux, Mac OS X und Windows. Über die mobile Variante war bislang relativ wenig bekannt.
Aufgrund der vorliegenden Code-Samples ist Citizen Lab überzeugt, dass es sich bei den analysierten Mobiltrojanern um FinSpy Mobile handelt. Der Trojaner soll Telefonate, SMS-Mitteilungen und E-Mails weiterleiten können, Räume über stille Telefonate überwachen, Dateien herunterladen und die Position des Trägers verfolgen. Angeblich kann FinSpy auch den BlackBerry Messenger ausspähen. Meist gelangt der Trojaner über präparierte E-Mails auf das Smartphone.
Die iOS-Variante läuft auf allen iPad-Varianten, dem iPhone 4 und 4S sowie auf dem iPod Touch der dritten und vierten Generation; Mindestvoraussetzung ist iOS 4. Die App installiert sich versteckt, lädt dann Code nach, klinkt diesen in den Startvorgang ein und hängt danach tief im System. Im Dropper fanden die Forscher den String "FinSpyV2". Da der Dropper ein gültiges Entwicklerzertifikat und ein Ad-Hoc-Distribution Profile enthält, nehmen iOS-Geräte ihn auch ohne Jailbreak entgegen. Das Zertifikat ist auf Martin Münch ausgestellt – so heißt der Geschäftsführer der deutschen Niederlassung von Gamma International.
Auf Android-Smartphones installiert sich das Programm als signierte "Android Services"; auf Symbian-Geräten als "System Update", das angeblich von "Cyan Engineering Services" stammt. Die BlackBerry-Version gibt sich als "rlc_channel_mode_updaters" aus und ist mit RIM-Schlüsseln signiert. Aus dem Entwicklerschlüssel ließen sich mehrere Telefonnummern auslesen. Dabei scheint es sich aber um falsche Fährten zu handeln: Die deutsche Nummer führt jedenfalls zu einem Privatanschluss. Unter Windows Mobile gibt sich der FinSpy-Dropper ähnlich wie bei Android als Systemdienst aus, hier heißt er "services.exe" und schiebt dem Smartphone zwei DLLs unter.
Im Rahmen seiner Untersuchungen fand Citizen Lab mutmaßliche Kontrollserver für FinFisher in zehn Ländern: Ähtiopien, Bahrein, Brunei, Indonesien, Mongolei, Singapur, Turkmenistan und in den Vereinigten Arabischen Emiraten, aber auch in den Niederlanden sowie in Tschechien. Diese Liste deckt sich teilweise, aber nicht vollständig mit der FinFisher-Analyse von Rapid 7.
Für Spionagezwecke entwickelte Trojaner-Baukästen sind offenbar en vogue: Ende Juli wurde der Crisis-Trojaner der italienischen Spyware "Da Vinci" zugeordnet, deren Module neben Mac OS und Windows auch Windows-Mobile-Smartphones infizieren konnten. (ghi)
