Android-Spionage – Skygofree ist “übersät” mit Funktionen

Kaspersky Lab hat einen Android-Trojaner entdeckt, der über umfangreiche Spionagefunktionen verfügt. Skygofree – benannt nach einer von den Hintermännern verwendeten Domain – ist laut Kaspersky “übersät mit Funktionen, von denen wir einige noch nicht gesehen haben”. Unter anderem kann die Schadsoftware abhängig vom Standort des Geräts das Mikrofon einschalten und die Umgebung überwachen.

“In der Praxis bedeutet das, dass die Angreifer ihre Opfer abhören können, wenn sie beispielsweise das Büro betreten oder ihren Chef zu Hause besuchen”, heißt es im Kaspersky-Blog. Skygofree verbinde infizierte Android-Smartphones aber auch mit von den Angreifern kontrollierten WLAN-Netzen, selbst wenn das Opfer zuvor das WLAN abgeschaltet habe. Das erlaube es ihnen, den vollständigen Datenverkehr ihres Opfers zu überwachen und Anmeldedaten und Kreditkartendaten abzufangen.

Die von Kaspersky Ende Oktober 2017 entdeckte Variante von Skygofree ist offenbar bereits an Android 8.0 Oreo angepasst. Die jüngste Version von Googles Mobilbetriebssystem schaltet nicht benutzte Prozesse ab. Eine Überwachungs-App ist jedoch darauf angewiesen, stets im Hintergrund ausgeführt zu werden. Deswegen löst der Trojaner regelmäßig eine falsche Update-Nachricht aus, um die Beendigung seiner Prozesse durch das Betriebssystem zu verhindern. An ähnliche Energiespartechniken von Geräteherstellern ist Skygofree ebenfalls angepasst.

Der Spionage-Trojaner überwacht aber nicht nur die Umgebung des Geräts, sondern auch die darauf ausgeführten Anwendungen wie Facebook Messenger, Skype, Viber und WhatsApp. Auf WhatsApp-Nachrichten greift Skygofree mithilfe der Accessibility Services zu, die eigentlich Menschen mit körperlichen Einschränkungen bei der Nutzung und Bedienung eines Android-Geräts unterstützen sollen. Die für die Aktivierung dieser Funktion, die unter anderem Bildschirminhalte auslesen kann, benötigte Zustimmung versteckt die Malware hinter einer anscheinend harmlosen Anfrage.

Skygofree greift aber auch regelmäßig auf die Frontkamera eines Android-Smartphones zu, und zwar ohne Wissen des Nutzers, sobald dieser das Gerät entsperrt. Darüber hinaus soll der Trojaner aber auch über “gewöhnliche Funktionen” verfügen und Telefonate und SMS-Nachrichten abfangen und Kalendereinträge auslesen.

Aufgrund seiner Analyse vermutet Kaspersky, dass Skygofree bereits seit 2014 im Umlauf ist und seitdem konstant weiterentwickelt wurde. “Es hat sich von einer recht einfachen Malware zu einer vollwertigen, multifunktionalen Spyware entwickelt”, ergänzte Kaspersky. Die Verteilung erfolge über gefälschte Websites von Mobilfunkanbietern. Dort werde Skygofree als Update des Providers angeboten, um die Internetgeschwindigkeit zu verbessern. Falle ein Nutzer auf den Köder herein, infiziere die Malware das Gerät, noch während es eine gefälschte Meldung über die noch andauernde Einrichtung des Updates einblende.

Über die Hintermänner von Skygofree ist bisher nichts bekannt. Kaspersky geht jedoch davon aus, dass der Trojaner von einem IT-Unternehmen ähnlich Hacking Team entwickelt wurde. Das italienische Unternehmen, das Regierungen mit Spionagesoftware beliefert, war 2015 Opfer eines Hackerangriffs. Für Italien als Ursprung spricht laut Kaspersky unter anderem, dass Skygofree bisher nur dort entdeckt wurde. Da die Malware noch aktiv ist, schließt das Unternehmen nicht aus, dass sie künftig auch in anderen Ländern verteilt wird.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de