Es ist bekannt, dass über 98 Prozent der Smartphone-Schadprogramme auf Android abzielen. Das liegt unter anderem daran, dass Anwender von Apples iOS ausschließlich Apps aus dem von echten Menschen verwalteten App Store herunterladen können, und Apple es sehr gut schafft, schädliche Software aus dem App Store herauszuhalten. Allerdings gilt das nur für Massen-Schadprogramme, die alle Anwender infizieren wollen, ohne genaues Ziel. Wenn jemand persönlich ausspioniert werden soll, ist das eine ganz andere Geschichte. Und Sie müssen nicht unbedingt ein Krimineller, ein einflussreicher Geschäftsmann oder ein politischer Aktivist sein, um zum Ziel solcher Spionage zu werden. Vielleicht fallen Sie aus anderen Gründen in die Kategorie „verdächtig“ oder „interessant“, wie wir später noch sehen werden. Und in diesem Fall kann der Spion auch Ihr iPhone infizieren.
In manchen Ländern können verschiedene Regierungseinrichtungen den Computer oder das Smartphone eines Verdächtigen infiltrieren – zu „Überwachungszwecken“ oder um Beweise zu sammeln. Dazu nutzen die Agenturen üblicherweise so genannte „legale“ Spyware, die von internationalen Unternehmen offiziell entwickelt und verkauft wird. Eines dieser Unternehmen ist die italienische Firma HackingTeam, die eine Remote-Control-System-Software (RCS) anbietet, die auch unter dem Namen Galileo bekannt ist. Kaspersky Lab überwacht die RCS-Infrastruktur seit einiger Zeit und fand schon früher Windows-Schadprogramm-„Implantate“. Es gab zahlreiche Hinweise in schädlichen Dateien auf die Existenz von Smartphone-„Implantaten“, allerdings haben wir solche bisher nicht „in the wild“ gesehen. Während der aktuellen Forschungsarbeiten zusammen mit Morgan Marquis-Boire von Citizen Lab entdeckten wir neue Varianten der Schadsoftware. Diese neuen Varianten sind Smartphone-Trojaner, die sowohl auf Android, als auch unter iOS funktionieren.
#Kaspersky hat #Spionage #Trojaner entdeckt, die sowohl auf #Android, als auch unter #iOS funktionieren
Tweet
iOS-Schädling
Die wichtigste Entdeckung während der aktuellen RCS-Forschung ist die Infizierungsmethode für iPhones. Zunächst wird der Computer des Opfers mit einem Windows- oder MacOS-Schadprogramm infiziert. Die Infektionsvektoren sind jedesmal unterschiedlich und können Social Engineering, Exploits und Spear Phishing enthalten. Das Schadprogramm sitzt leise im Computer, führt typische Spionageaktivtäten, etwa Keylogging, durch und wartet, bis das Opfer sein Smartphone mit dem Computer verbindet und eine iTunes-Synchronisation durchführt. Wenn die Hintermänner eine Smartphone-Infizierung erlauben, versucht ein Trojaner heimlich einen Jailbreak auf dem verbundenen iPhone, gefolgt von der Installation der mobilen Spionage-Komponente. Bei diesem Schritt startet das iPhone neu und das ist auch das einzige sichtbare Zeichen, dass irgendetwas nicht stimmt. Das Schadprogramm ist recht intelligent und verwendet verschiedene logische Auslöser, um diskret zu spionieren. So arbeitet es zum Beispile nur, wenn ein vom Angreifer spezifiertes WLAN-Netz in der Nähe oder ein Ladegerät angeschlossen ist. Dadurch leert es den Akku nicht übermäßig schnell, was den Anwender ebenfalls alarmieren könnte.
Die RCS-Mobiltrojaner können alle Arten von Spionageaktivitäten durchführen, die man von so einer Software erwarten kann – inklusive Ortung, das Schießen von Fotos, das Mitlesen von SMS-Nachrichten sowie der WhatsApp-Kommunikationen, das Abhören von Messengern, das Stehlen von Kontakten und noch viel mehr.
Natürlich gibt es Beschränkungen, die es Angreifern erlauben oder nicht erlauben, ein bestimmtes iPhone zu hacken. Zunächst einmal muss es eine Jailbreak-fähige iOS-Version nutzen. So gibt es für die aktuellste Version zum Beispiel keinen bekannten Jailbreak, ältere Versionen sind aber anfällig. Zum zweiten muss ein iPhone während dem Jailbreak entsperrt sein. Allerdings sind diese beiden Voraussetzungen nicht gerade selten anzutreffen und die Hintermänner der Spyware haben garantiert bereits viele iOS-Geräte erbeutet.
A thought to keep you up at night, from #KLcsd: hacking software can remotely activate live mic on your phone, and tell it to take photos
— James Bassil (@jamesbassil) junio 24, 2014
Opfer
Die Liste der Opfer, auf die in der aktuellen Forschungsarbeit hingewiesen wird, die von Kaspersky Lab und Citizen Lab durchgeführt wurde, enthält Aktivisten und Menschenrechtler, aber auch Journalisten und Politiker. Allerdings ist das Interesse an manchen Opfern nicht klar: So wurde unter anderem auch ein High-School-Lehrer aus Großbritannien gehackt.
Der Großteil der entdeckten RCS-Control-Server war in den USA, Kasachstan, Ecuador, Großbritannien und Kanada zu finden. Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab, sagte dazu: „Die Präsenz dieser Server in einem Land bedeutet nicht unbedingt, dass sie von den dortigen Strafverfolgungsbehörden eingesetzt werden. Allerdings ist es für die RCS-Nutzer sinnvoll, die Server in den Gebieten zu platzieren, die sie überwachen möchten – so dass das Risiko rechtlicher Grenzprobleme oder von Server-Ausfällen minimiert wird.“
Schutz
Um Infizierungen zu vermeiden, empfehlen die Kaspersky-Experten zunächst, Ihr iPhone nicht mit einem Jailbreak freizuschalten und zudem das Betriebssystem iOS regelmäßig zu aktualisieren. Zusätzlich empfiehlt sich, auf Ihrem Computer eine zuverlässige Sicherheitslösung zu nutzen, denn diese reduziert das Risiko, infiziert zu werden enorm.