Neu entdeckter Staats-Trojaner ermöglicht totale Kontrolle

Veröffentlicht und zu lesen auf:
http://www.neopresse.com

In mehr als 40 Ländern befinden sich über 350 Kontrollserver des Trojaners, zwei davon in Deutschland

(sh) Das Kaspersky Lab aus Russland und das Citizen Lab aus Kanada haben die Entdeckung eines neuen Trojaners für Smartphones bekanntgegeben. Dieser wird offenbar nicht von Cyberkiminellen eingesetzt um an das Geld von ahnungslosen Opfern zu gelangen, sondern dürfte von Staaten zur Überwachung eingesetzt werden. Hersteller der bösartigen Software soll die italienische Firma “Hacking Team” sein, die ihre Kreationen offen an staatliche Stellen in der ganzen Welt verkauft. Das Unternehmen gibt an, die Software nicht an “unterdrückerische Regime” zu verkaufen und respektiert laut eigenen Angaben die NATO-Blacklist. Wozu jedoch westliche, also nicht unterdrückerische, Regime Bedarf ein einer solchen Software haben könnten bleibt unbeantwortet.

Remote Control System (RCS)

Die Möglichkeiten zur Überwachung die der Smartphone-Trojaner bietet sind erschreckend. Die Software bietet einen allumfassenden Zugriff auf die Funktionen des jeweiligen Geräts. Mit dem Zugriff auf die Kameras kann die Umgebung beobachtet werden oder jederzeit ein Foto erstellt werden, die Mikrophone eignen sich als Abhörwanzen und mittels des GPS Moduls lässt sich zu jeder Zeit der Aufenthaltsort bestimmen und somit nachvollziehen. Auch auf die auf dem Gerät installierte Apps wie WhatsApp, Skype etc. kann zugegriffen werden und mitgelesen oder sogar manipuliert werden. Den Überwachungsmöglichkeiten oder gar Sabotageaktionen sind somit kaum Grenzen gesetzt. Nicht umsonst wird die “Lösung” vom Hersteller mit dem Namen “Remote Control System (RCS)” versehen.

Die Funktionen der Software lassen sich laut Untersuchungen des Citizen Lab auch anhand bestimmter Ereignisse aktivieren. Bucht sich das Gerät z.B. in ein bestimmtes Mobilfunknetz oder in ein spezielles WLAN ein, kann die Software aktiv werden. Verbindet sich das Gerät beispielsweise mit einem WLAN das den Namen “work” enthält, könnte die Software gezielt aktiv werden um so vertrauliche Gespräche oder Daten aufzeichnen. Der Benutzer des Smartphones wählt eine bestimmte Nummer und der Trojaner belauscht gezielt das Gespräch.

Ausführliche Verschleierungstechniken

Das Citizen Lab verfügt über eine Kopie des Benutzerhandbuches aus einer anonymen Quelle. Dort werden ausführlich die Verschleierungsmaßnamen aufgeführt, die den “Kunden” des Systems angeraten werden. So sollten die Empfänger der Überwachungsdaten anonyme Proxyserver einrichten um die Verfolgung der gesammelten Daten zum Überwacher zu verschleiern.

Hacking Team hat sich sogar des Logos von Anonymous bedient um die anonymen Proxy Server darzustellen / Citizen Lab

Der Trojaner versucht auch vom Benutzer des Smartphones unentdeckt zu bleiben. Dazu wird der Akkuverbrauch gezielt minimiert und z.B. die Datenübertragung erst gestartet, wenn der Besitzer das Smartphone an das Ladegerät hängt oder es mit einem PC verbindet. Dazu gibt es einen so genannten “crisis mode” der die Aktivitäten der Software vorübergehend einstellt, wenn eine andere Software versucht, die Datenübertragung des Smartphones zu analysieren und so den Trojaner aufspüren könnte. Selbst die vollständige Löschung des Trojaners von dem Gerät ist vorgesehen.

Mit den Augen der Zielperson sehen

Der Hersteller “Hacking Team” bewirbt das Produkt in einem professionell produzierten Werbevideo als die ideale Lösung für die Erlangung von “schwer zu erreichender Daten”. Daten die vom Verdächtigen über die Grenze transportiert werden oder Daten die nie verschickt werden und somit nicht auf dem Transportweg abgefangen werden können.

“Sie möchten mit den Augen der Zielperson sehen, während diese im Internet surft, Dokumente austauscht oder eine SMS bekommt …”, heißt es in der Werbebotschaft.

Ein Screenshot aus dem Benutzerhandbuch von Hacking Team zeigt die Oberfläche zur Verwaltung des infizierten Geräts bzw. der abgefangenen Daten / Citizen Lab

“Nur für gesetzliche Überwachung”

Wie bereits erwähnt, beeilt sich der Hersteller zu betonen, dass die Software nicht an repressive Regime verkauft wird und nur für gesetzeskonforme Überwachung gedacht sei. Tatsächlich soll die Software aber bereits eingesetzt worden sein um unliebsame Bürgerjournalisten in Marokko zu überwachen sowie von Saudi Arabien um politische Dissidenten auszuspionieren.

Die Software kann über unterschiedliche Kanäle auf ein Smartphone gelangen. So soll in der offiziellen, im Google Play Store verfügbaren App von “Qatif Today”, einer arabischen Nachrichtenseite die über die Qatif-Region im Osten Saudi Arabiens berichtet, der Trojaner integriert gewesen sein. Weiters soll ein für Schiiten interessanter Twitter Account dazu benutzt worden sein um einen Link zu verbreiten, über den sich Betroffene dann den Trojaner eingehandelt haben.

Lediglich auf dem iPhone soll es durch iOS zu etwaigen Einschränkungen der Nutzbarkeit des Trojaners kommen. Für die Installation braucht es einen so genannten Jailbreak. Dieser könnte aber, so die Untersuchungen von Citizen Labs, sofern nicht vorhanden heimlich durchgeführt werden, wenn der Betroffene z.B. kein Passwort auf dem Sperrbildschirm benutzt oder sein Smartphone an einen mit dem Trojaner bereits infizierten Computer anschließt. Weiters kann die Schadsoftware natürlich bei physischem Zugriff auf das Telefon, z.B. im Zuge einer Durchsuchung auf einem Flughafen, installiert werden.

350 Kontrollstationen in 40 Ländern

Um die betroffenen Geräte der “Verdächtigen” zu kontrollieren, die Überwachungsaktionen anzustoßen und die Daten zu übermitteln bedarf es eines Computers mit dem sich die Software verbinden und kommunizieren kann und von dem es Befehle entgegennehmen kann. Kaspersky Lab hat hierfür 350 Server in 40 Ländern dieser Welt identifiziert.

Die meisten davon (64) befinden sich in den USA, gefolgt von 49 in Kasachstan, Ecuador mit 35 und Großbritannien mit 32. Zwei Server befinden sich auch in Deutschland. Zwar kann nicht nachgewiesen werden, ob die Länder, welche Server beherbergen, diese selbst benutzen und den Trojaner aktiv einsetzen oder fremde Staaten dort ihre Server betreiben. Kaspersky weist jedoch darauf hin, dass es für staatliche Stellen wenig Sinn ergibt Server im Ausland zu nutzen, da dort jederzeit die Gefahr besteht, den Zugang oder die Kontrolle zu diesen Rechner zu verlieren.

Es bestehen also berechtigte Zweifel an dem gezielten, gesetzmäßigen, polizeilichen Einsatz im Rahmen von Ermittlungsarbeit. Abgesehen davon bietet die Infrastruktur, wenn einmal vorhanden, nahezu unbegrenzte Möglichkeiten beliebige Zielpersonen auszuspionieren. Ob sich dies im Moment oder auf Dauer auf kriminelle Subjekte beschränkt darf bezweifelt werden. Unliebsame politische Akteure oder Medienvertreter könnten somit jederzeit einer umfassenden Überwachung und Beschnüffelung ausgesetzt werden. Geheim, versteht sich.

Quellen:

http://www.wired.com/2014/06/remote-control-system-phone-surveillance/

http://www.heise.de/newsticker/meldung/Staats-Trojaner-fuer-Smartphones-entdeckt-2237610.html

via Neu entdeckter Staats-Trojaner ermöglicht totale Kontrolle | NEOPresse – Unabhängige Nachrichten.