GoogleWatchBlog

Skygofree: Sicherheitsforscher entdecken möglichen Staatstrojaner für Android – Aktiv seit 2014

» Web-Version «

Aufgrund der riesigen Verbreitung und der unzähligen sensiblen Daten auf einem Smartphone ist Android mittlerweile für viele Hacker das Angriffsziel Nummer 1. Jetzt haben die Sicherheitsforscher von Kaspersky wieder einen Trojaner für Googles Betriebssystem entdeckt, der den Nutzer sehr umfangreich ausspionieren und auch einige Funktionen des Smartphones fernsteuern kann. Tatsächlich soll der Trojaner schon seit mindestens 2014 aktiv sein.


Durch die Einschränkung auf Apps aus dem Play Store, das Rechte-Management und den standardmäßigen Sicherheitseinstellungen ist ein Android-Smartphone von Hause aus eigentlich relativ sicher. Aber natürlich hat jeder Nutzer die Möglichkeit, die Schleusen zu öffnen und diese Einstellungen zu verändern – und genau darauf setzen viele Apps, die den Nutzern entweder per Clickjacking oder mit Versprechungen dazu bringen, umfangreiche Berechtigungen zu vergeben.

Der neueste entdeckte Trojaner nennt sich Skygofree und ermöglicht es dem Angreifer, die Kontrolle über viele Funktionen des Smartphones zu übernehmen. So soll der Trojaner etwa in der Lage sein, Fotos oder Videos unbemerkt aufzunehmen, das Mikrofon anzuzapfen, den Standort abzurufen, SMS zu lesen und zu empfangen oder auch WhatsApp-Nachrichten abzufangen. Für letztes muss nicht einmal die Verschlüsselung geknackt werden, da die Nachrichten über die Accessibility Services abgerufen werden. Außerdem kann er selbst im Hintergrund ein verstecktes WLAN aktivieren, einige Schutzfunktionen des Betriebssystems umgehen und auch Energiesparfunktionen ignorieren um weiter im Hintergrund aktiv zu sein.

Außerdem soll der Trojaner auch von der Ferne gesteuert werden können, so wie es für einen Trojaner üblich ist, und das gleich über drei Wege: Per SMS, HTTP-Befehlen oder auch über CloudMessaging. Das gefährliche daran ist wie üblich, dass der Nutzer meist gar nicht bemerkt dass er angegriffen wurde bzw. wird und sensible Daten ausspioniert werden. Der Trojaner soll sich auch nicht selbst verbreiten, sondern relativ gezielt eingesetzt werden – was ihm nun den Ruf als möglichen Staatstrojaner eingebracht hat.

Deutsche Nutzer können aber einigermaßen unbesorgt sein, denn tatsächlich soll der Trojaner seit vier Jahren nur in Italien eingesetzt worden sein und auch nur italienische Nutzer angreifen. Verbreitet wird er über gefälschte Webseiten von italienischen Mobilfunkanbietern, die dem Nutzer den Download von irgendwelchen Apps aufschwatzen, hinter dem sich dann der Trojaner versteckt.



Wie die Verbreitung und Infizierung genau funktioniert ist derzeit nicht bekannt, aber da es sehr gezielt passiert, dürften dem Nutzer wohl einige Dinge versprochen werden, wenn er diverse Berechtigungen vergibt. Und hat die App diese dann erst einmal an sich gerissen, sind bekanntlich kaum noch Grenzen gesetzt, so dass man ihn sehr schwer wieder los wird. Sehr wahrscheinlich dürfte er die eigene Identität auch verschleiern und sich selbst verstecken.

Es ist nicht das erste mal, dass die Sicherheitsforscher von Kaspersky einen solch großen Fund machen. Erst vor wenigen Wochen haben sie eine Malware entdeckt, die das Smartphone zerstören kann – zumindest in der Theorie. Aber auch einen möglichen Staatstrojaner hat man schon mehrmals im Play Store gesehen – zuletzt im Sommer des vergangenen Jahres in Form von Lipizzan.

Details zu Skygofree gibt es im Blog von Kaspersky, inklusive einer recht umfangreichen Dokumentation.

» Details im Kaspersky-Blog

Mehr zum Thema
» Lipizzan: Google Play Protect hat einen Staatstrojaner im Play Store entdeckt
» Spionage: Mehr als 250 Apps aus dem Play Store lauschen unbemerkt auf dem Smartphone-Mikrofon
» Loapi: Kaspersky entdeckt gefährlichen Android-Trojaner, der das Smartphone zerstören kann
» Alles rund um das Thema Malware

[heise]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren