zurück zum Artikel

"Super-Spion": Android-Überwachungssoftware von Hacking Team nutzt allerhand schmutzige Tricks

Ronald Eikenberg
Android-Spion

Eine Analyse der Spionage-App RCSAndroid zeigt umfassende Ausspähfunktionen auf. Die Infektion erfolgt über Exploits – und möglicherweise auch Google Play.

Die von Hacking Team [1] entwickelte Spionagesoftware Remote Control System Android (RCSAndroid) ist laut einer Analyse der Antivirenfirma TrendMicro [2] einer der professionellsten Android-Schädlinge überhaupt.

Der Super-Spion verwandelt das Smartphone unter anderem in eine Wanze, die Telefongespräche in Echtzeit an seinen Auftraggeber überträgt. Zudem verrät er die GPS-Koordinaten, zapft die Kameras an und liest neben Mails auch Kurznachrichten in allen wichtigen Messaging-Apps mit. Eine Screenshot-Funktion und das Ausspähen von Zugangsdaten zählen ebenfalls zum Funktionsumfang von RCSAndroid.

Drive-by-Infektion

Laut TrendMicro lässt sich die Spionagesoftware wahlweise über SMS oder einen Command-and-Control-Server beherrschen – vergleichbar mit einem klassischen Botnet. Dem Unternehmen liegen Indizien vor, die darauf hindeuten, dass RCSAndroid seit 2012 im Einsatz ist. Zur Installation des Trojaners schickt der Hacking-Team-Kunde sein Ziel auf eine speziell präparierte Webseite, die zwei Sicherheitslücken im Chrome-Browser auszunutzen versucht – vergleichbar mit einem Exploit-Kit. Sie betreffen den vorinstallierten Browser von Android 4.0 bis 4.3. Anschließend versucht sich der Spion durch eine weitere Lücke Root-Rechte zu verschaffen.

Verbreitung über Google Play?

Wolf im Schafpelz: Hacking Team bietet seinen Kunden das Grundgerüst eines Android-Trojaners, der den Kontrollen von Google Play standhalten soll.

Wolf im Schafpelz: Hacking Team bietet seinen Kunden das Grundgerüst eines Android-Trojaners, der den Kontrollen von Google Play standhalten soll.

Als weiteren Infektionsweg hat Hacking Team für seine Kunden eine Android-App entwickelt, die sich für eine gewöhnliche News-App ausgibt [3]. Während sie vermeintlich nur Nachrichten aus dem Web anzeigt, versucht sie die durch Towelroot bekannt gewordene Sicherheitslücke CVE-2014-3153 auszunutzen und das Smartphone dauerhaft zu trojanisieren. Nach Einschätzung von TrendMicro war die App dafür gedacht, bei Google Play eingeschleust zu werden.

Zwar führt Google [4] automatisierte Kontrollen durch, um sicherzustellen, dass keine Apps zum Download freigegeben werden, die zum Beispiel Sicherheitslücken ausnutzen. Laut dem Bericht war der Trojaner aber auf diese Situation vorbereitet: Die App enhält selbst keine Exploits, sondern lädt den Schadcode erst nach dem Start aus dem Netz nach – und zwar nur dann, wenn sichergestellt ist, dass sie nicht auf einem von Googles Analysesystemen läuft.

Collin Mulliner is not amused

Hacking Team hat seine Spionage-Software nicht komplett selbst entwickelt, sondern sich freimütig bei der Open-Souce-Community bedient. So nutzt etwa die Funktion zum Abhören von Telefongesprächen das Android Dynamic Binary Instrumentation Toolkit [5] von dem deutschen Sicherheitsforscher Collin Mulliner. Auch ein weiteres Projekt des Forschers wurde offenbar von Hacking Team genutzt.

Mulliner erklärt in seinem Blog [6], dass er "ziemlich wütend und traurig darüber ist", dass seine "Open-Source-Tools von Hacking Team genutzt werden, um Produkte zur Überwachung von Aktivisten zu entwickeln". Er werde mit der Spionage-Software in Verbindung gebracht, da der inzwischen öffentlich einsehbare Quellcode der Programme die Lizenzinformationen aus Mulliners Code enthält [7] – einschließlich seines Namens, seiner Mail-Adresse und die Adresse seiner Website. Seine bisherigen Projekte stehen unter GPL. Für zukünftige sucht er nach einem vergleichbaren Lizenzmodell, welches den Einsatz für Überwachungszwecke jedoch explizit untersagt. (rei [8])

URL dieses Artikels:
https://www.heise.de/-2759365

Links in diesem Artikel:
[1] https://www.heise.de/news/Ueberwachungssoftware-Aus-Hacking-Team-wurde-Hacked-Team-2736160.html
[2] http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-rcsandroid-spying-tool-listens-to-calls-roots-devices-to-get-in/
[3] http://blog.trendmicro.com/trendlabs-security-intelligence/fake-news-app-in-hacking-team-dump-designed-to-bypass-google-play/
[4] http://www.heise.de/thema/google
[5] https://github.com/crmulliner/adbi
[6] https://www.mulliner.org/blog/blosxom.cgi/security/hackingteam.html
[7] https://github.com/hackedteam/core-android-audiocapture/blob/master/dbi_release/libt.c
[8] mailto:rei@heise.de

Copyright © 2015 Heise Medien