Skygofree: Mobile-Spyware seit 2014 aktiv

von Simon Wegmüller

17. Januar 2018 - Forscher von Kaspersky Lab haben ein fortschrittliches mobiles Implantat entdeckt, das seit 2014 aktiv ist und für die gezielte Cyber-Überwachung entwickelt wurde.

Experten von Kaspersky Lab haben mit der Spyware Skygofree ein sehr fortschrittliches mobiles Implantat entdeckt. Die Android-Spionage-Malware ist seit dem Jahr 2014 aktiv und soll für zielgerichtete Cyber-Überwachung entwickelt worden sein, möglicherweise auch für offensive Cybero-Oerationen.

Skygofree beinhaltet Funktionen, die es bisher noch nie in freier Wildbahn gab, wie zum Beispiel ortsbezogene Audioaufzeichnungen über infizierte Geräte. Verbreitet wird die Spyware über Webseiten, die führende Mobilfunkbetreiber imitieren. Skygofree, benannt nach einer der in der Kampagne verwendeten Domains, ist eine hochentwickelte, mehrstufige Spyware, die Angreifern die vollständige Fernsteuerung eines infizierten Geräts ermöglicht. Es wurde seit der ersten Version Ende 2014 kontinuierlich weiterentwickelt und bietet nun die Möglichkeit, Gespräche und Geräusche in der Umgebung zu belauschen, wenn ein infiziertes Gerät an einem bestimmten Ort eintrifft - ein Feature, das davor noch nie beobachtet wurde. Zu den weiteren erweiterten, unsichtbaren Funktionen gehören die Nutzung von Accessibility Services zum Stehlen von Whatsapp-Nachrichten und die Möglichkeit, ein infiziertes Gerät mit Wi-Fi-Netzwerken zu verbinden, die von den Angreifern kontrolliert werden.

Skygofree verwendet mehrere Exploits für den Root-Zugriff und ist ausserdem in der Lage, Bilder und Videos aufzunehmen, und Anrufaufzeichnungen, SMS, Geolokalisierung, Kalenderereignisse und geschäftsrelevante Informationen, die im Speicher des Geräts gespeichert sind, zu erfassen. Eine Besonderheit ermöglicht es, eine batteriesparende Technik eines Top-Geräteherstellers zu umgehen: Das Implantat fügt sich in die Liste der geschützten Anwendungen ein, so dass es bei ausgeschaltetem Bildschirm nicht automatisch abgeschaltet wird. Die Angreifer scheinen ausserdem auch ein Interesse an Windows-Anwendern zu haben, und Forscher fanden eine Reihe von kürzlich entwickelten Modulen, die auf diese Plattform abzielen.

Copyright by Swiss IT Media GmbH / 2024