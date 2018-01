Über den Schädling Skygofree können Angreifer Android-Geräte fernsteuern und so etwa Audioaufnahmen starten und WhatsApp-Nachrichten mitlesen, warnen Sicherheitsforscher. Angriffe gibt es bislang aber nur in Italien.

Der Android-Trojaner Skygofree soll seit 2014 zielgerichtet Android-Smartphones ausspionieren, schildern Sicherheitsforscher von Kaspersky. Den Angaben der Kaspersky-Forscher zufolge handelt es sich dabei um das bislang mächtigste Spionage-Tool für Android. Ursprung des Schädlings soll in Italien sein. Auch derzeit sollen dort noch Kampagnen laufen. Übergriffe in anderen Ländern hat es nach derzeitigem Kenntnisstand noch nicht gegeben.

Skygofree soll auf gefälschten Webseiten von Mobilfunkanbietern lauern, erläutern die Sicherheitsforscher. Wahrscheinlich handelt es sich dabei um einen Drive-by-Download. Wie eine Infektion im Detail abläuft, verschweigen sie.

In diesem Kontext warnt Kaspersky davor, ohne nachzudenken auf Links in Mails zu klicken und Dateianhänge zu öffnen. Das ist nichts Neues und sollte ohnehin selbstverständlich sein. Insgesamt bleibt unklar, wie leicht man sich mit Skygofree infizieren kann.

Der Android-Trojaner lauert ausschließlich in Italien vermutlich als Drive-by-Donwload auf gefälschten Webseiten von Mobilfunkanbietern. (Bild: Kaspersky

Vielfältige Spionage-Funktionen

Der Schädling soll auf mehrere, nicht nähere ausgeführte Exploits setzen, um sich Root-Zugriff auf einem Android-Gerät zu verschaffen und so die Kontrolle zu übernehmen. In einigen Fällen müssen Opfer von Skygofree eingeforderte Berechtigungen abnicken, damit der Trojaner Zugriff auf bestimme Informationen erhält. Dabei kommt Kaspersky zufolge ein Phishing-Text zum Einsatz, der Opfer hinters Licht führen soll. Angreifer sollen den Trojaner unter anderem via FirebaseCloudMessaging, HTTP und SMS steuern können.

Hat sich der Trojaner auf einem Gerät eingenistet, soll er beispielsweise Bilder und Videos aufnehmen können. Darüber hinaus können Angreifer standortbasierte Audioaufnahmen starten. Der Schädling soll zudem Zugriff auf SMS-Nachrichten, Standorte und weitere Informationen haben. Kaspersky gibt an, dass Skygofree auf Huawei-Geräten den Energiesparmodus umgehen können soll, um auch im Hintergrund nach dem Ausschalten eines Smartphones weiterzulaufen.

WhatsApp-Nachrichten mitlesen

Der Trojaner soll auch WhatsApp-Nachrichten "stehlen" können. Dafür nutzt der Trojaner die Accessibility Services von Android aus. Diese ermöglichen es einer Anwendung mit einer anderen App zu interagieren. Über diesen Weg soll Skygofree über auf dem Bildschirm dargestellte Elemente auf WhatsApp-Nachrichten schließen können.

Die Ende-zu-Ende-Verschlüssung des Messengers wird dabei nicht angegriffen. Kaspersky gibt jedoch an, dass Skygofree mittels der legitimen Software Busybox den Schlüssel von WhatsApp kopiert. Was damit anschließend passiert, bleibt jedoch unklar.

Weitere Informationen zur Arbeitsweise des Schädlings schlüsselt Kaspersky in einem englischsprachigen Blog-Eintrag auf. In einem Dokument zeigen sie, wie man eine Infektion erkennt.

Staatstrojaner?

Die Sicherheitsforscher gehen davon aus, dass Skygofree aufgrund der Komplexität von einem italienischen IT-Unternehmen entwickelt wurde, das Überwachungslösungen anbietet. Im Zuge dieser Vermutung schlagen sie eine Brücke zum ebenfalls aus Italien stammenden Überwachungssoftware-Spezialisten Hacking Team, der Überwachungssoftware an Diktaturen verkauft hat. Wer die Malware aber einsetzt, dazu gibt es keine Informationen.

Kaspersky gibt zudem an, dass sie Vorbereitungen für eine Windows-Version von Skygofree entdeckt haben.

