Android und iOS: Google warnt vor Spyware auf Smartphones

Vor Kurzem hatte Lookout Mobile Security – ein US-amerikanisches Unternehmen, das sich auf die Sicherheit von Smartphones und Tablets spezialisiert hat – eine bisher unbekannte Android-Spyware mit dem Namen „Hermit“ dem italienischen Softwarehaus RCS Lab zugeordnet. Nun bestätigte auch Googles Threat Analysis Group (TAG) zur Bekämpfung von Internet-Spionage diese Aussage. Demnach wurden sowohl in Italien als auch in Kasachstan zahlreiche Smartphones ausgespäht. Betroffen waren sowohl Android- als auch Apple-Modelle. Besonders brisant: Die Spionage-Lösungen von RCS werden nach Angaben des Unternehmens allen voran von europäischen Strafverfolgungsbehörden genutzt. RCS entwickelt Software, mit der private Nachrichten und Kontakte ausgelesen werden können.
Spyware: Zusammenarbeit mit Internetanbietern
Um die Smartphone-Nutzer:innen ausspähen zu können, wurden Links verschickt. „Nach dem Anklicken versuchte die Seite, die Benutzer dazu zu bringen, eine schädliche Anwendung auf Android oder iOS herunterzuladen“, heißt es in einem Blogbeitrag von TAG. „In einigen Fällen vermuten wir, dass die Akteure mit dem Internetanbieter der Zielperson zusammengearbeitet haben, um die mobile Datenverbindung zu deaktivieren.“ Nach der Deaktivierung hätten die Angreifer einen bösartigen Link via SMS verschickt. In dieser sei behauptet worden, dass sich mit einem Klick die mobile Datenverbindung wiederherstellen lasse.
Die Kooperation der Internetanbieter lasse laut TAG darauf schließen, dass es sich bei dem Einsatz der Spyware um polizeiliche Ermittlungen gehandelt habe. Nachfragen bei den Behörden in Italien und Kasachstan blieben laut der Nachrichtenagentur Reuters bislang unbeantwortet.
Spyware getarnt als Sicherheits-Patches
In anderen Fällen hatte sich die von TAG identifizierte Spionage-Software als Sicherheits-Patches von Messengern oder sozialen Netzwerken ausgegeben. Dann wurde behauptet, dass über einen Download beispielsweise Facebook, Whatsapp oder Instagram repariert werden würden.
Laut Lookout Mobile Security handele es sich bei „Hermit“ um eine modulare Überwachungssoftware, die ihre bösartigen Fähigkeiten in Paketen verstecke, „die nach ihrer Installation heruntergeladen werden.“ Den Forscher:innen sei es gelungen, 16 der 25 bekannten Module zu erhalten und zu analysieren. Diese Module ermöglichten es „Hermit“, zusammen mit den Berechtigungen der Kern-Malware, ein gerootetes Gerät auszunutzen, Audio aufzuzeichnen, Telefonanrufe zu tätigen und umzuleiten sowie Daten wie Anrufprotokolle, Kontakte, Fotos, den Standort des Geräts und SMS-Nachrichten zu sammeln.
RCS Lab: Produkte im Einklang mit europäischen Regularien
„Mitarbeiter:innen von RCS Lab sind nicht Teil der Aktivitäten, die von den entsprechenden Kunden durchgeführt werden“, erklärten Verantwortliche des Unternehmens in einer E-Mail an die Nachrichtenagentur Reuters. Alle Produkte und Angebote stünden zudem im Einklang mit europäischen Regularien.
Google und Apple ziehen Konsequenzen
Nach eigenen Angaben hat Google bereits Schritte eingeleitet, um seine Nutzer:innen zu schützen. Auch Apple gab gegenüber Reuters an, in Reaktion auf die Hacking-Kampagne alle Konten und Zertifikate widerrufen zu haben, die mit dieser in Verbindung stehen könnten.