Skygofree: Spionage-Software für WhatsApp

Anscheinend ist den Sicherheitsforschern von Kaspersky eine Malware ins Netz gegangen, die Spionagefunktionen beherrscht, um WhatsApp-Nachrichten abzugreifen.


Anzeige

Der zu Facebook gehörende WhatsApp-Dienst arbeitet ja mit Ende-zu-Ende-Verschlüsselung, so dass Polizei und Geheimdienste die Kommunikation nicht mitlesen können. Diese Institutionen benötigt Spionagesoftware auf den Geräten der zu Überwachenden.

Aktuell gibt es auch eine Diskussion um die Schwächen des Gruppenchats. Dort könnte die Kommunikation auf Serverseite überwacht werden. heise.de hat z.B. hier einige Details dazu.

Skygofree Android-Spyware

Die Sicherheitsforscher von Kaspersky Labs beschreiben im Blog Securelist in diesem Beitrag den Fund einer neuen Android-Spyware. Die Android-Spyware, nach einer Domäne als Skygofree benannt, tauchte Anfang Oktober 2017 auf. Die Funktionen der Spyware hatte man bisher in freier Wildbahn nicht beobachtet.

Im Laufe weitere Untersuchungen gingen den Sicherheitsspezialisten weitere Proben der Malware ins Netz, die auf einen langfristigen Entwicklungsprozess hindeuten. Die Kaspersky Sicherheitsleute gehen davon aus, dass die ersten Versionen dieser Malware vor mindestens drei Jahren – Ende 2014 – entstanden sind. Seitdem hat sich die Funktionalität der Spyware verbessert und es sind bemerkenswerte neue Funktionen hinzugekommen. Dazu gehört auch die Möglichkeit, Audioumgebungen über das Mikrofon aufzunehmen, wenn sich ein infiziertes Gerät an einem bestimmten Ort befindet. Auch das Stehlen von WhatsApp-Nachrichten über Accessibility Services und die Möglichkeit, ein infiziertes Gerät mit Wi-Fi-Netzwerken zu verbinden, die von Cyberkriminellen kontrolliert werden, sind Bestandteil der Malware.

Verbreitung über Webseiten

Kaspersky beobachtete viele Web-Landingpages, die die Seiten von Mobilfunkbetreibern nachahmen. Diese Domains wurden von den Angreifern seit 2015 registriert und diesen zur zur Verbreitung der Android-Spyware.  Laut der Kaspersky-Telemetrie wurde die Malware 2015 am häufigsten ausgeliefert. Die zuletzt beobachtete Domain wurde am 31. Oktober 2017 registriert.


Anzeige

Auf der Grundlage der KSN-Statistik gibt es mehrere infizierte Personen, ausschließlich in Italien. Spiegel Online schreibt hier, dass die Spyware mutmaßlich von einem italienischen Unternehmen entwickelt wurde, welches sich auf Überwachungstechnik für staatliche Ermittler (lawful interception) spezialisiert hat. Bei der Spyware handelt es sich wohl um einen Staatstrojaner.

Accessibility-Service missbraucht

Die Accessibility Services dienen eigentlich dazu, unter Android Apps einen barrierefreien Auftritt zu ermöglichen. Die Spyware wartet, bis der Nutzer WhatsApp startet, um dann den Bildschirm der App mitzulesen. Weiterhin kann das Mikrofon an bestimmten Standorten eingeschaltet werden, um Gespräche mitzuschneiden.

Insgesamt gibt es bisher 48 von Kaspersky Lab 48 gefundene Funktionen zur Überwachung. Die Malware nutzt auch mehrere Exploits für den Root-Zugriff auf das Gerät. Auf Huawei-Geräten kann sich die App vom Stromsparmodus ausnehmen. Weiterhin lassen sich Anruferlisten, SMS, Standortdaten etc. auswerten. Weitere Details sind im oben verlinkten Kasperky-Beitrag, bei Spiegel.de, bei Golem und bei arstechnica nachzulesen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Skygofree: Spionage-Software für WhatsApp

  1. Ach die App hab ich auch extra auf meinem Alten Smartphone installiert das heiße ich übrigens Josef Maas und verbreite damit meine Hassbotschaften um möglichst Schnell sie im Netz zu verbreiten [Ironie Aus]

    Das wäre doch mal was neues für unseren Heiko ein Antispy Gesetz für Apps endlich zu erlassen, Google würde sicher auch darüber freuen wenn sich da mal jemand darum kümmert!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.