Generell verfügen die von Kaspersky Lab neu identifizierten mobilen RCS-Trojaner über eine ganze Palette von Überwachungsmöglichkeiten. Sie können ein infiziertes Gerät orten, damit Fotos machen, auf Kalendereinträge zugreifen oder neu eingelegte SIM-Karten registrieren. Außerdem fangen sie Telefongespräche ebenso ab wie SMS-Nachrichten oder Mitteilungen über Viber, WhatsApp und Skype ab.

Wenn ein Ziel über das Galileo-RCS ausspioniert werden soll, wird ein eigenes, dem Zweck des Angriffs angepasstes Malware-Implantat entwickelt, welches anschließend noch auf dem mobilen Gerät des Opfers installiert werden muss. Dazu arbeiten die Angreifer gezielt mit Spear-Phishing und Methoden des Social Engineering; oftmals ergänzt durch Exploits (inklusive Zero-Day-Schwachstellen) und lokalen Angriffen über USB, während mobile Geräte mit einem Computer synchronisiert werden.

Eine weitere wichtige Entdeckung ist die Methode, mit der die mobilen Trojaner von Galileo iPhones infizieren. Dafür muss das serienmäßig für bestimmte Funktionen gesperrte iOS-Gerät zunächst einem sogenannten Jailbreak unterzogen, also freigeschaltet werden. Dies kann allerdings inzwischen, etwa mit Hilfe des Tools „Evasi0n“, auch über bereits infizierte Rechner aus der Ferne erfolgen, gefolgt von einer Infektion. Die Experten von Kaspersky Lab raten daher dringend, am iPhone niemals selbst einem Jailbreak durchzuführen und außerdem die verwendete iOS-Software stets auf dem aktuellen Stand zu halten.

Weiterhin haben die Entwickler der mobilen Trojaner von RCS sehr genau darauf geachtet, dass die Schadsoftware nicht entdeckt wird. So wurde zum Beispiel versucht, die Gerätebatterie möglichst zu schonen. Einige Spionagefunktionen werden etwa erst dann aktiv, wenn bestimmte Situationen eintreten. Eine Audio-Aufzeichnung startet zum Beispiel nur, wenn sich das Gerät des Opfers mit einem bestimmten WLAN-Netzwerk (etwa dem am Arbeitsplatz) verbunden hat, wenn die SIM-Karte ausgetauscht wird, oder sich die Batterie gerade auflädt.

Der Infrastruktur auf der Spur

Dass die Firma HackingTeam mobile Trojaner für die Betriebssysteme Android und iOS herstellt, war seit längerem bekannt. Die Schadsoftware wurde jedoch noch nie bei einem Angriff entdeckt und identifiziert.

Auch die Experten von Kaspersky Lab beschäftigen sich schon seit Jahren mit der RCS-Malware. Sie konnten in diesem Jahr zunächst einige Samples mobiler Module identifizieren, die zu den zu vorher gefundenen Konfigurationsdateien der RCS-Malware passten. Zuletzt wurden weitere Sample-Varianten über das Cloud-basierte Kaspersky Security Network (KSN) gemeldet, bei dem Informationen zu Cyberattacken auf Kaspersky-Kunden anonym, vertraulich und auf freiwilliger Basis erhoben werden [2].

Für die Identifikation der Command-and-Control-Server (C&C) von Galileo arbeitete Kaspersky Lab mit verschiedenen Ansätzen. Die Sicherheitsexperten stützten sich auf spezielle Indikatoren und Verbindungsdaten, die sie über die Analyse von bekannten Malware-Samples erhielten. Bei ihrer jüngsten Analyse entdeckte Kaspersky Lab über 320 RCS-C&C-Server in mehr als 40 Ländern. Die Mehrheit der C&Cs war in den USA, Kasachstan, Ecuador, Großbritannien und Kanada beheimatet.

„Die Tatsache, dass C&C-Server in ein bestimmten Land zu finden sind, bedeutet natürlich nicht automatisch, dass sie auch von den dortigen Strafverfolgungsbehörden genutzt werden“, erklärt Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. „Allerdings macht es für die Anwender von RCS durchaus Sinn, die Server in Regionen einzusetzen, die sie kontrollieren können, damit sie nur ein minimales Risiko grenzübergreifender rechtlicher Probleme oder einer Beschlagnahmung der Server hätten.“

Die Produkte von Kaspersky Lab erkennen die RCS/DaVinci/Galileo Spionage-Software-Tools unter den folgenden Namen: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir und Backdoor.AndroidOS.Criag.

Weitere Informationen können unter http://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile abgerufen werden.

[1] http://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile

[2] Die Analyse von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter www.kaspersky.com/images/KES8_Whitepaper_4_KSN.pdf abrufbar ist.

Quelle: Kaspersky Lab