Matthias Schüsslers Artikelarchiv

Die gesammelten journalistischen Werke seit 1981

«Eine Spyware mit ausgeklügelten Funktionen»

Matthias Schüssler

Erstmals ist ein Staatstrojaner für Smartphones aufgetaucht. Sergei Golovanow von Kaspersky Labs erklärt, warum er auch das iPhone nicht verschont.

Wodurch zeichnet sich der Trojaner aus, den Kaspersky entdeckt hat?

Es ist eine Spyware mit ausgeklügelten Funktionen. Sie kann Kurznachrichten, Kontakte, Notizen auslesen. Sie kommt auch an die Daten von Whatsapp und Viber heran. Sie kann das Mikrofon auf dem infizierten Gerät einschalten und per Kamera Fotos aufnehmen. Wir haben 326 Kommandoserver in 42 Ländern entdeckt – über die die abgehorchten Daten eingesammelt werden. Die Spyware kann iPhones und iPads, Android-Telefone, Blackberrys und Windows-Mobile-Geräte überwachen. Die meisten Samples haben wir auf Android-Telefonen gefunden.

Bis jetzt war die vorherrschende Meinung, dass Apples iOS-Betriebssystem vor Schadsoftware gefeit ist. Wie kann dieser Trojaner jetzt die Schutzmechanismen von Apple umgehen?

Apple hat nach wie vor eine der sichersten Plattformen. Der Trick besteht darin, dass sich der Trojaner über einen Jailbreak einnistet.

Beim Jailbreak werden die Sicherheitsmechanismen des Betriebssystems ausgehebelt. Man kann dann Software installieren, die Apple nicht zulässt. Wenn man sein Telefon keinem Jailbreak unterzieht, ist man also weiterhin sicher?

Da gibt es ein Problem: Die iOS-Geräte können per Computer quasi heimlich einem Jailbreak unterzogen werden. Wenn der Besitzer sein Telefon ohne Jailbreak mit einem infizierten Computer verbindet, dann kann das Telefon auf diese Weise «aufgebrochen» werden und die Schadsoftware gelangt aufs Telefon. Diese Infektion lässt sich nur verhindern, indem man die neueste Version von iOS installiert. Für die gibt es bislang keinen Jailbreak.

Die Infektion kann aber nicht via Mobilfunknetz oder WLAN stattfinden?

Nein, dafür haben wir keine Anzeichen gefunden.

Also muss ich bei meinem Computer ansetzen, um mich vor dieser Infektion zu schützen?

Ja, definitiv. Das ist die wichtigste Regel für Windows-Computer! Und sie gilt nun auch für Mac-Anwender. Sie verwenden bislang normalerweise keinen Virenschutz. Und das ist das Problem, weil iPhones auf diese Weise infiziert werden können.

Sie sprechen vom Staatstrojaner. Das ist quasi ein Tool aus offizieller Quelle, um Verdächtige auszuhorchen. Wieso wissen Sie, dass es sich um eine Schadsoftware aus staatlicher Quelle handelt?

Vor drei Jahren wurden Dokumente auf Wikileaks veröffentlicht. Eine Präsentation stellte die Funktionen eines Staatstrojaners vor, die vom Unternehmen Hacking-Team entwickelt worden war. Hacking-Team ist der Hersteller, der die Software für Strafverfolgungsbehörden entwickelt. Der Zweck ist, verdächtige Personen auszuspionieren. Bei Wikileaks haben wir viele Informationen zum Trojaner gefunden, und unsere Analysten waren in der Lage, den neuen Trojaner mit 99-prozentiger Sicherheit mit Hacking-Team in Verbindung zu bringen. Und auch wenn das Produkt an Strafverfolgungsbehörden verkauft wird, ist es trotzdem eine Schadsoftware.

Wie haben Sie die Verbindung zum Hacking-Team konkret hergestellt? Ich nehme nicht an, dass die Software mit dem Urheber gekennzeichnet war.

Es gibt technische Details im Quelltext, die Benennung von Ordnern oder Textstrings. Wir haben vor zwei Jahren in einem Trojaner den Benutzernamen eines Entwicklers gefunden, der als Chefentwickler bei Hacking-Team arbeitet, und konnten so die Querverbindung herstellen. Es handelte sich dabei um eine frühere Version der Malware. Heute ist diese Information nicht mehr enthalten.

Wissen Sie, wer die Auftraggeber von Hacking-Team sind?

Wir wissen es nicht. Wir sind über Virustotal.com an die Samples gelangt. Dort können Benutzer verdächtige Dateien hochladen. Es werden auf den Servern aber keine Informationen darüber gespeichert, woher die Leute kamen, die die Dateien hochgeladen haben. Wir wissen nicht, wer die Opfer dieses Trojaners sind.

Die Wikileaks-Dokumente geben über den Auftraggeber keine Auskunft?

Nein. Da wurden die Funktionen der Schadsoftware vorgestellt. Man findet auch auf der Website von Hacking-Team Informationen und Werbung zu all den Funktionen ihrer Software, aber sie schreiben nicht, wer ihre Kunden und Nutzer sind.

Haben Sie eine Vermutung? Sind es die USA, China, Russland?

Die Forscher des kanadischen Citizen Lab versuchen, mit den Opfern in Kontakt zu treten und mehr herauszufinden. Unsere Aufgabe ist die technische Analyse, daher stelle ich keine Vermutungen an.

Bin ich als Normalanwender im Visier der Software? Muss ich etwas tun, um mich zu schützen oder ist die Software für gezielte Angriffe auf ausgesuchte Individuen ausgelegt?

Man sollte auf alle Fälle die Schutzmassnahmen wie Virenschutz und Firewall anwenden – unter Windows und auf dem Mac. Für Android-Geräte gibt es viele Sicherheitslösungen, eine davon sollte man installieren. Bei iOS-Geräten könnte helfen, auf verdächtige Symptome zu achten: Wenn die Batterie sehr rasch geleert wird oder viel Datenverkehr zu beobachten ist. Wenn Sie normalerweise ein paar Dutzend Megabytes verbrauchen und dieser Verbrauch grundlos auf ein Gigabyte hochgeht, dann ist das ein Indiz für eine Schadsoftware.

Sergei Golovanow ist Principal Security Researcher bei Kaspersky Lab

In diesen Ländern sind die Server des Trojaner-Herstellers Hacking-Team zu finden. Bild: Kaspersky

Sergei Golovanow hat den Staatstrojaner analysiert. (Bild: Kaspersky)

Quelle: Newsnetz, Mittwoch, 25. Juni 2014

Rubrik und Tags:

Metadaten
Thema: Newsnetz
Nr: 11705
Ausgabe:
Anzahl Subthemen: 1

Obsolete Datenfelder
Bilder: 2
Textlänge: 0
Ort:
Tabb: FALSCH