- silicon.de - http://www.silicon.de -

CIA-Malware kann SMS-Nachrichten von Android-Nutzern abfangen

Wikileaks hat ein CIA-Handbuch für eine HighRise genannte Schadsoftware veröffentlicht [1] für Android. Sie ist demnach in der Lage, auf Geräten mit Googles Mobilbetriebssystem SMS-Nachrichten umzuleiten und abzufangen. Das Dokument ist Teil der als Vault 7 [2] bezeichneten Sammlung von Unterlagen, die von der Central Intelligence Agency (CIA) stammen sollen.

CIA (Grafik: CIA) [3]

Die im Dezember 2013 erstellte Anleitung bezieht sich auf Android 4.0 bis 4.3. Sie wurden zwischen Oktober 2011 und Oktober 2013 veröffentlicht. Google zufolge kommen sie derzeit noch auf einen Anteil von 8,8 Prozent. Dem Handbuch zufolge ist die darin beschriebene Version HighRise 2.0 eine Portierung für Android 4.0 bis 4.3. Es gab daher offenbar auch eine Version für frühere Android-Releases.

In diesen OS-Versionen sei es möglich gewesen, Apps sofort nach der Installation für einen automatischen Start mit dem Betriebssystem zu registrieren. Seit Android 4.0 muss eine App zuerst manuell gestartet werden, bevor die Autostartfunktion eingerichtet werden kann. “Als Folge erscheint die HighRise-Anwendung nun in der Liste der installierten Apps, damit sie von einem HighRise-Operator gestartet werden kann”, führt das Dokument daher aus.

Die CIA-Malware HighRise kann SMS-Nachrichten von Android-Nutzern abfangen (Bild: Shutterstock)(Bild:Shutterstock) [4]
Die CIA-Malware HighRise kann SMS-Nachrichten von Android-Nutzern abfangen (Bild: Shutterstock)

Daher ist davon auszugehen, dass die CIA HighRise 2.0 vorrangig auf bereits kompromittierten Geräten eingesetzt hat, auf denen ihre Mitarbeiter die Möglichkeit hatten. Der Anleitung zufolge wurde beim ersten Start der App von einem ein CIA-Mitarbeiter das voreingestellte Passwort “inshallah” eingegeben und die App über den Button “Initialize” eingerichtet.

So wurde ein Autostart-Eintrag erzeugt und die App in den Hintergrund versetzt. In den Einstellungen der App ließ sich eine URL für den sogenannten “Listening Point” und das Abhörintervall in Minuten festlegen.

Laut dem CIA-Dokument ist HighRise ein SMS-Proxy. Als solcher leitet er eingehende Nachrichten an einen “Listening Point” im Internet weiter. Die App soll auch der Kommunikation zwischen dem “HighRise Field Operator” und der Listening Point genannten Abhöreinrichtung der CIA dienen. Zudem kann HighRise jegliche Internetkommunikation per TLS/SSL verschlüsseln.

Ausgewähltes Webinar

Wie modernes Endgeräte-Backup das Problem der Datenmigration löst

Eine durchschnittliche technische Erneuerung beschäftigt die IT sowie den Benutzer ungefähr 2 ½ Stunden. Das geht aber auch anders. Wie, erfahren Sie in diesem Whitepaper.

Seit März Wikileaks veröffentlicht nahezu im Wochenrhythmus neue Geheimdokumente der CIA. Dadurch wurde unter anderem bekannt, dass die CIA Zero-Day-Lücken in Windows [5] und Cisco-Switches [6] ausgenutzt hat [7]. Die CIA soll seit Jahren aber auch WLAN-Router ausspähen [8] und über diverse Tools für Angriffe auf Android-und iOS-Geräte [9] verfügen. Die von der CIA entwickelten Malware-Tools BothanSpy und Gyrfalcon können zudem SSH-Anmeldedaten ausspähen [10] und mit Brutal Kangaroo [11] verfügt die CIA über ein Tool, mit dem sich in erster Linie über USB-Sticks auch Netzwerke infizieren lassen, die nicht mit dem Internet verbunden sind.

[mit Material von Stefan Beiersmann, ZDNet.de [12]]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de. [13]