Tech

Der Staatstrojaner wäre neidisch: Neue Super-Spyware trickst WhatsApp aus und liest eure Chats mit

"Es ist eines der mächtigsten Spähprogramme für Android-Telefone, das wir jemals gesehen haben", so die Sicherheitsforscher.
17.1.18
Bild: Shutterstock

Eigentlich sind Chats in WhatsApp sicher verschlüsselt. Niemand kann von außen mitlesen – nicht einmal WhatsApp selbst. Eigentlich. Denn eine neue mächtige Spionagesoftware, die gerade im Umlauf ist und Android-Telefone angreift, umgeht WhatsApps Sicherheitsmechanismus mit einem Trick: Hat die Software erstmal euer Telefon infiziert und kritische Systemfunktionen gekapert, umgeht es WhatsApps Verschlüsselung anstatt sie zu knacken – und zwar ganz einfach, indem sie alles, was auf dem Bildschirm passiert, via Screenshot abfotografiert.

Anzeige

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Entdeckt hat die Software die russische IT-Sicherheitsfirma Kaspersky bereits im Oktober 2017. Getauft haben sie die Malware auf den Namen "Skygofree" - der Begriff tauchte auf einem der infizierten Domains auf, die die Forscher gefunden haben. Doch Skygofree ist nicht irgendeine eine Malware: Laut den Kaspersky-Analysten soll die Spyware "eine der mächtigsten" sein, die je für Android-Telefone entwickelt wurden. Sie biete bisher ungesehene Überwachungsmöglichkeiten, so die Forscher: Vom einfachen Datenklau bis zur Rundum-Überwachung besitzt das Tool insgesamt 48 unterschiedliche Funktionen, um sich Android-Smartphones gefügig zu machen. Dafür müssen Opfer nur bestimmte Webseiten besuchen. Mehrere Smartphones sollen bereits damit infiziert sein.

Was für die meisten Nutzern besorgniserregend klingt, wäre für so manchen deutschen Behördenleiter Musik in den Ohren. Das Bundeskriminalamt (BKA) und der Bundesnachrichtendienst (BND) suchen schon länger nach einem funktionierenden Trojaner, um Verdächtige und Straftäter zu überwachen. Ende April 2017 wurde im Bundestag über neue Überwachungsmethoden abgestimmt, die Ermittlern ermöglichen mit staatlicher Spyware Verschlüsselung zu umgehen. Die bisherigen Versionen des Staatstrojaners waren jedoch nicht unbedingt das Gelbe vom Ei: Die Eigenentwicklung des BKA hielt gerade mal für die Überwachung von Skype-Gesprächen her und ein Zukauf aus der Privatwirtschaft muss noch vom TÜV geprüft.

Anzeige

Doch ob Skygofree eine taugliche Alternative darstellt und künftig aus deutschen Amtsstuben heraus befehligt und gegen deutsche Nutzer werden könnte, ist derzeit Spekulation. Die gute Nachricht für Smartphone-Besitzer in Deutschland lautet daher erstmal: Sämtliche mit Skygofree infizierten Geräte wurden bisher in Italien festgestellt. Damit ist jedoch nicht ausgeschlossen, dass die Software auch gegen deutsche Nutzer eingesetzt werden könnte oder bereits wird.

Wie infiziert man sich?

Um sich mit der Spyware zu infizieren, müssen Nutzer zuvor bestimmte Webseiten aufsuchen, die wie die Originalseiten großer Mobilfunkanbieter aussehen. Die Seiten fordern Nutzer dazu auf, ein angebliches Android-Update herunterzuladen – und sich damit den Trojaner aufs Smartphone zu laden. Die Kaspersky-Forscher haben mehrere solcher Schad-Domains aufgespürt, es sind Nachbauten unter anderem von Vodafone oder des österreichischen Anbieters Drei.

Wie mächtig ist der Trojaner?

Eine der mächstigten Waffen von Skygofree ist das zeitgleiche Ausnutzen mehrerer Schwachstellen, eine Art Exploit-Kombipacket, das Angreifern Zugriff auf das Root-System des Telefons gibt. Insgesamt 48 Wege, ein Android-Handy anzugreifen, kennt der Trojaner. Die folgenden Fähigkeiten halten die Sicherheitsforscher für besonders erwähnenswert:

  • WhatsApp: Das Tool knipst Screenshots von WhatsApp-Unterhaltungen ab, indem es den "Accessibility Service" für barrierefreie Nutzung austrickst.
  • "Geofencing": Dier Funktion erlaubt einem Angreifer, das Mikrofon des betroffenen Telefons anzuschalten und damit aufzunehmen, sobald sich der Nutzer sich an einem bestimmten Ort (etwa in der Wohnung oder am Arbeitsplatz) befindet.
  • "Social": Über das Kapern der Verwaltungssoftware "AndroidMDMSupport" können Angreifer auf jede Datei aus anderen installierten Apps zugreifen.
  • "Wifi": Nutzer von Skygofree können infizierte Telefone unbemerkt mit WLAN-Netzwerken verbinden, selbst wenn der eigentliche Nutzer die Funktion deaktiviert hat. "Dieser Befehl wird benutzt, um das Opfer mit einem Netzwerk zu verbinden, das von Cyber-Kriminellen kontrolliert wird, um den Datenverkehr zu überwachen und Man-in-the-Middle-Attacken auszuführen", so die Forscher von Kaspersky.
  • "Camera": Angreifer aktivieren die Selfie-Kamera, um Videos und Fotos aufzunehmen, sobald das Telefon entsperrt wird.

Anzeige

Auffällig war laut Kaspersky außerdem, dass sich im Code auch Programmzeilen speziell für Huawei-Telefone befanden. Einige Modelle des chinesischen Herstellers deaktivieren im Stromsparmodus bestimmte Apps, die Skygofree für die umfassende Überwachung braucht. Die Spyware umgeht diese Systemfunktion einfach. Auch Windows-Rechner sollen theoretisch mit Skyfreego angreifbar sein, auch wenn Kaspersky bislang keine Infektionen beobachten konnte.

Wer das mächtige Tool gebaut hat, ist unbekannt. Tatsächlich gibt es einige Hinweise, die Kaspersky jedoch vermuten lassen, dass Skyfreego in Italien entwickelt wurde. So gibt es etwa italienische Kommentare im Programmcode, und die Webseiten, über die Skyfreego Smartphones inifiziert, sind allesamt italienisch: Sie sind Klone von italienischen Netzanbietern.

Eine Möglichkeit wäre die italienische Firma Negg, die laut einem Bericht auf Forbes an ähnlicher Software arbeitet und deren Name immer wieder im Code von Skyfreego auftaucht. Negg wäre nicht die erste italienische Firma, die mit Spyware mediale Wellen schlägt. 2015 wurde etwa bekannt, dass die Milaner Firma HackingTeam Überwachsungsssoftware an repressive Regime wie Sudan und Saudi-Arabien geliefert hatte. WikiLeaks hatte damals interne E-Mails der Firma veröffentlicht.

Damit sieht es aktuell eher danach aus, als würde Skyfreego hauptsächlich gegen italienische Bürger eingesetzt werden. So ist etwa die "geofencing"-Funktion perfekt abgestimmt auf aktuell beschlossene italienische Gesetze, wie Motherboard Italien recherchiert hat.

Ob sich jedoch auch andere Staaten an Skyfreego bedienen, lässt sich derzeit nicht ausschließen. Ebensowenig wie die Gefahr, dass eine mächtige Malware wie Skyfreego durch einen Hack in andere Hände fallen könnte, wie es bereits in der Vergangenheit mit gestohlenen NSA-Tools der Fall gewesen ist.

Folgt Dennis auf Twitter.