"Super-Spion": Android-Überwachungssoftware von Hacking Team nutzt allerhand schmutzige Tricks
Eine Analyse der Spionage-App RCSAndroid zeigt umfassende Ausspähfunktionen auf. Die Infektion erfolgt über Exploits – und möglicherweise auch Google Play.
- Ronald Eikenberg
Die von Hacking Team entwickelte Spionagesoftware Remote Control System Android (RCSAndroid) ist laut einer Analyse der Antivirenfirma TrendMicro einer der professionellsten Android-Schädlinge überhaupt.
Der Super-Spion verwandelt das Smartphone unter anderem in eine Wanze, die Telefongespräche in Echtzeit an seinen Auftraggeber überträgt. Zudem verrät er die GPS-Koordinaten, zapft die Kameras an und liest neben Mails auch Kurznachrichten in allen wichtigen Messaging-Apps mit. Eine Screenshot-Funktion und das Ausspähen von Zugangsdaten zählen ebenfalls zum Funktionsumfang von RCSAndroid.
Drive-by-Infektion
Laut TrendMicro lässt sich die Spionagesoftware wahlweise über SMS oder einen Command-and-Control-Server beherrschen – vergleichbar mit einem klassischen Botnet. Dem Unternehmen liegen Indizien vor, die darauf hindeuten, dass RCSAndroid seit 2012 im Einsatz ist. Zur Installation des Trojaners schickt der Hacking-Team-Kunde sein Ziel auf eine speziell präparierte Webseite, die zwei Sicherheitslücken im Chrome-Browser auszunutzen versucht – vergleichbar mit einem Exploit-Kit. Sie betreffen den vorinstallierten Browser von Android 4.0 bis 4.3. Anschließend versucht sich der Spion durch eine weitere Lücke Root-Rechte zu verschaffen.
Verbreitung über Google Play?
Als weiteren Infektionsweg hat Hacking Team für seine Kunden eine Android-App entwickelt, die sich für eine gewöhnliche News-App ausgibt. Während sie vermeintlich nur Nachrichten aus dem Web anzeigt, versucht sie die durch Towelroot bekannt gewordene Sicherheitslücke CVE-2014-3153 auszunutzen und das Smartphone dauerhaft zu trojanisieren. Nach Einschätzung von TrendMicro war die App dafür gedacht, bei Google Play eingeschleust zu werden.
Zwar führt Google automatisierte Kontrollen durch, um sicherzustellen, dass keine Apps zum Download freigegeben werden, die zum Beispiel Sicherheitslücken ausnutzen. Laut dem Bericht war der Trojaner aber auf diese Situation vorbereitet: Die App enhält selbst keine Exploits, sondern lädt den Schadcode erst nach dem Start aus dem Netz nach – und zwar nur dann, wenn sichergestellt ist, dass sie nicht auf einem von Googles Analysesystemen läuft.
Collin Mulliner is not amused
Hacking Team hat seine Spionage-Software nicht komplett selbst entwickelt, sondern sich freimütig bei der Open-Souce-Community bedient. So nutzt etwa die Funktion zum Abhören von Telefongesprächen das Android Dynamic Binary Instrumentation Toolkit von dem deutschen Sicherheitsforscher Collin Mulliner. Auch ein weiteres Projekt des Forschers wurde offenbar von Hacking Team genutzt.
Mulliner erklärt in seinem Blog, dass er "ziemlich wütend und traurig darüber ist", dass seine "Open-Source-Tools von Hacking Team genutzt werden, um Produkte zur Überwachung von Aktivisten zu entwickeln". Er werde mit der Spionage-Software in Verbindung gebracht, da der inzwischen öffentlich einsehbare Quellcode der Programme die Lizenzinformationen aus Mulliners Code enthält – einschließlich seines Namens, seiner Mail-Adresse und die Adresse seiner Website. Seine bisherigen Projekte stehen unter GPL. Für zukünftige sucht er nach einem vergleichbaren Lizenzmodell, welches den Einsatz für Überwachungszwecke jedoch explizit untersagt. (rei)
