Anscheinend ist den Sicherheitsforschern von Kaspersky eine Malware ins Netz gegangen, die Spionagefunktionen beherrscht, um WhatsApp-Nachrichten abzugreifen.
Der zu Facebook gehörende WhatsApp-Dienst arbeitet ja mit Ende-zu-Ende-Verschlüsselung, so dass Polizei und Geheimdienste die Kommunikation nicht mitlesen können. Diese Institutionen benötigt Spionagesoftware auf den Geräten der zu Überwachenden.
Aktuell gibt es auch eine Diskussion um die Schwächen des Gruppenchats. Dort könnte die Kommunikation auf Serverseite überwacht werden. heise.de hat z.B. hier einige Details dazu.
Skygofree Android-Spyware
Die Sicherheitsforscher von Kaspersky Labs beschreiben im Blog Securelist in diesem Beitrag den Fund einer neuen Android-Spyware. Die Android-Spyware, nach einer Domäne als Skygofree benannt, tauchte Anfang Oktober 2017 auf. Die Funktionen der Spyware hatte man bisher in freier Wildbahn nicht beobachtet.
Im Laufe weitere Untersuchungen gingen den Sicherheitsspezialisten weitere Proben der Malware ins Netz, die auf einen langfristigen Entwicklungsprozess hindeuten. Die Kaspersky Sicherheitsleute gehen davon aus, dass die ersten Versionen dieser Malware vor mindestens drei Jahren – Ende 2014 – entstanden sind. Seitdem hat sich die Funktionalität der Spyware verbessert und es sind bemerkenswerte neue Funktionen hinzugekommen. Dazu gehört auch die Möglichkeit, Audioumgebungen über das Mikrofon aufzunehmen, wenn sich ein infiziertes Gerät an einem bestimmten Ort befindet. Auch das Stehlen von WhatsApp-Nachrichten über Accessibility Services und die Möglichkeit, ein infiziertes Gerät mit Wi-Fi-Netzwerken zu verbinden, die von Cyberkriminellen kontrolliert werden, sind Bestandteil der Malware.
Verbreitung über Webseiten
Kaspersky beobachtete viele Web-Landingpages, die die Seiten von Mobilfunkbetreibern nachahmen. Diese Domains wurden von den Angreifern seit 2015 registriert und diesen zur zur Verbreitung der Android-Spyware. Laut der Kaspersky-Telemetrie wurde die Malware 2015 am häufigsten ausgeliefert. Die zuletzt beobachtete Domain wurde am 31. Oktober 2017 registriert.
Auf der Grundlage der KSN-Statistik gibt es mehrere infizierte Personen, ausschließlich in Italien. Spiegel Online schreibt hier, dass die Spyware mutmaßlich von einem italienischen Unternehmen entwickelt wurde, welches sich auf Überwachungstechnik für staatliche Ermittler (lawful interception) spezialisiert hat. Bei der Spyware handelt es sich wohl um einen Staatstrojaner.
Accessibility-Service missbraucht
Die Accessibility Services dienen eigentlich dazu, unter Android Apps einen barrierefreien Auftritt zu ermöglichen. Die Spyware wartet, bis der Nutzer WhatsApp startet, um dann den Bildschirm der App mitzulesen. Weiterhin kann das Mikrofon an bestimmten Standorten eingeschaltet werden, um Gespräche mitzuschneiden.
Insgesamt gibt es bisher 48 von Kaspersky Lab 48 gefundene Funktionen zur Überwachung. Die Malware nutzt auch mehrere Exploits für den Root-Zugriff auf das Gerät. Auf Huawei-Geräten kann sich die App vom Stromsparmodus ausnehmen. Weiterhin lassen sich Anruferlisten, SMS, Standortdaten etc. auswerten. Weitere Details sind im oben verlinkten Kasperky-Beitrag, bei Spiegel.de, bei Golem und bei arstechnica nachzulesen.
Ach die App hab ich auch extra auf meinem Alten Smartphone installiert das heiße ich übrigens Josef Maas und verbreite damit meine Hassbotschaften um möglichst Schnell sie im Netz zu verbreiten [Ironie Aus]
Das wäre doch mal was neues für unseren Heiko ein Antispy Gesetz für Apps endlich zu erlassen, Google würde sicher auch darüber freuen wenn sich da mal jemand darum kümmert!