Mit RCSAndroid können Angreifer Nutzer nach Belieben ausspähen
Das von Hacking Team entwickelte Tool ist Trend Micro zufolge “die bisher professionellste Android-Malware”. Sie kann nicht nur Nachrichten aller gängigen Messenger wie Skype, WhatsApp und Facebook Messenger mitlesen, sondern auch auf Kamera und Mikrofon zugreifen.
Trend Micro hat in den kürzlich durch Unbekannte bei Hacking Team entwendeten Unterlagen auch Beleg dafür gefunden, dass der italienische Spähsoftwareentwickler mit RCSAndroid (Remote Control System Android) ein äußerst ausgefeiltes Spionage-Tool entwickelt und verkauft hat, mit dem sich gezielt Android-Nutzer ausforschen lassen. “Der RCSAndroid-Code kann als die professionellste und ausgefeilteste Android-Malware bezeichnet werden, die uns bisher untergekommen ist”, schreibt Veo Zhang, der als Mobile Threat Analyst bei Trend Micro beschäftigt ist.
Zhang zufolge kann der analysierte Code unabhängig vom gewählten Netz oder der gewählten App sämtliche Sprachanrufe aufzeichnen. Außerdem könne RCSAndroid Nachrichten von Messaging-Diensten wie Facebook-Messenger, WhatsApp, Skype, Line, WeChat, Hangouts, Telegram und sogar Blackberry Messenger entschlüsseln und auf die Kontakte der genutzten Anwendungen zugreifen.
Mit RCSAndroid können Angreifer aber auch Screenshots aufnehmen, den Inhalt der Zwischenablage überwachen und Passwörter für WLAN-Netzwerke sowie Online-Konten sammeln. Das Tool hat außerdem Zugriff auf Mikrofon und Kamera und kann so alle Geräusche und Gespräche in der Umgebung aufnehmen und Fotos machen. Es erfasst außerdem alle Standortdaten.
“Unsere Analyse hat gezeigt, dass RCSAndroid seit 2012 im Umlauf ist”, schreibt Zhang. Die Software habe mit einem Befehlsserver in den USA kommuniziert, der aber nicht mehr erreichbar sei. Einzelne Funktion ließen sich per SMS starten, auf diesem Weg konnten die Hintermänner auch festlegen, welche Daten gesammelt werden sollen.
Auf ein Android-Gerät gelangt RCSAndroid entweder über eine SMS, eine E-Mail oder eine legitime App. Bereits in der vergangenen Woche hatte Trend Micro von einer von Hacking Team entwickelten dynamischen Malware für Android berichtet, die Schutzmechanismen von Googles Play Store aushebelte. Das italienische Unternehmen nutzte laut Trend Micro zudem zwei bekannte Schwachstellen im Android-Browser. Durch sie erhielt es Root-Zugriff.
“Der durchgesickerte RCSAndroid-Code ist eine kommerzielle Waffe, die jetzt frei verfügbar ist”, führt Zhang weiter aus. Ein mit der Backdoor infiziertes Gerät könne nur mit Root-Rechten bereinigt werden. “Nutzer benötigen möglicherweise die Hilfe ihres Geräteherstellers für das Flashen der Firmware.” Hinweise auf eine Infektion mit RCSAndroid seien unerwartete Neustarts des Geräts, dem Nutzer nicht bekannte Apps oder das kurzzeitige Einfrieren von Messaging-Anwendungen.
Da all das aber auch im “normalen” Alltag auftritt, das Provider Apps aufzwingen, Anwender den Überblick über die installierten Apps verlieren oder Anwendungen nicht reibungslos funktionieren, werden in der Vergangenheit die meisten Opfer schlicht darüber hinweggesehen haben. Angaben darüber, in welchem Umfang und von wem das Späh-Tool eingesetzt wurde, gibt es bislang nicht.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de