RCS-Trojaner "Galileo"

Staaten spionieren Smartphones mit Standardsoftware aus

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Regierungen und Behörden in der ganzen Welt kaufen beim italienischen Hersteller HackingTeam den RCS-Trojaner (Remote Control System) "Galileo" ein, um Smartphones auszuspionieren.

Das berichten die Sicherheitsexperten von Kaspersky Lab. Gemeinsam mit dem Citizen Lab der Universität Toronto analysierte man den "Galileo" genannten RCS-Trojaner, dessen mehr als 320 Command-and-Control Server in über 40 Ländern entdeckt wurden - unter anderem in den USA, China, Großbritannien und Kanada. Opfer der Software, die auf den mobilen Plattformen Android und iOS läuft, seien laut Kaspersky Aktivisten, Menschenrechtler, Journalisten und Politiker.

"Die Tatsache, dass C&C-Server in ein bestimmten Land zu finden sind, bedeutet natürlich nicht automatisch, dass sie auch von den dortigen Strafverfolgungsbehörden genutzt werden", erklärt Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. "Allerdings macht es für die Anwender von RCS durchaus Sinn, die Server in Regionen einzusetzen, die sie kontrollieren können, damit sie nur ein minimales Risiko grenzübergreifender rechtlicher Probleme oder einer Beschlagnahmung der Server hätten."

Was der Trojaner kann

Galileo, von HackingTeam ganz offiziell vertrieben, kann mobile Geräte im großen Stil fernsteuern und auslesen. Laut Kaspersky sei es damit möglich, das Gerät zu orten, Kalendereinträge auszulesen Fotos aufzunehmen, das Mikrofon einzuschalten, Telefonate, SMS, WhatsApp und Skype zu überwachen.

Um auf das Smartphone des Opfers zu gelangen, kommen klassische Hacking-Methoden wie Spear Phishing, Social Engineering und das Ausnutzen von Zero-Day-Sicherheitslücken zum Einsatz. iPhones müssen jedoch vorher "gejailbreaked" worden sein. Die Kaspersky-Forscher haben zudem einige speziell auf die jeweilige Zielperson angepasste Galileo-Derivate entdeckt.

Der italienische Hersteller HackingTeam bewirbt "Galileo" auf seiner Website offensiv.
Der italienische Hersteller HackingTeam bewirbt "Galileo" auf seiner Website offensiv.

Damit Galileo von seinen Opfern nicht entdeckt wird, haben die Entwickler viel Wert darauf gelegt, dass der Trojaner akkuschonend "arbeitet" und möglichst erst dann aktiv wird, wenn bestimmte Situationen eintreten. Beispielsweise startet eine Audio-Aufzeichnung nur dann, wenn sich das Gerät des Opfers mit einem bestimmten WLAN (etwa dem am Arbeitsplatz) verbunden hat, wenn die SIM-Karte ausgetauscht wird, oder sich die Batterie gerade auflädt.

Die Vorgeschichte

Dass die Firma HackingTeam mobile Trojaner für die Betriebssysteme Android und iOS herstellt, war seit längerem bekannt. Die Schadsoftware wurde jedoch noch nie bei einem Angriff entdeckt und identifiziert. Auch die Experten von Kaspersky Lab beschäftigen sich schon seit Jahren mit der RCS-Malware. Sie konnten in diesem Jahr zunächst einige Samples mobiler Module identifizieren, die zu den zu vorher gefundenen Konfigurationsdateien der RCS-Malware passten. Zuletzt wurden weitere Sample-Varianten über das Cloud-basierte Kaspersky Security Network (KSN) gemeldet, bei dem Informationen zu Cyberattacken auf Kaspersky-Kunden anonym, vertraulich und auf freiwilliger Basis erhoben werden.

Wer sein eigenes Mobilgerät auf mögliche Galileo-Infektionen hin prüfen möchte, achtet auf die folgenden Malware-Bezeichnungen (Kaspersky-Beschreibungen): Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir und Backdoor.AndroidOS.Criag.

Weitere Informationen zu Galileo stehen bei securelist.com zur Verfügung. (sh)