Skygofree – eine hollywoodreife Spyware

17 Jan 2018

Im Grunde genommen sind die meisten Trojaner gleich: Nachdem sie sich in ein Gerät eingeschleust haben, stehlen sie die Zahlungsinformationen des Eigentümers, schürfen Kryptowährung für die Angreifer oder verschlüsseln Daten und fordern ein Lösegeld von den Opfern. Es gibt allerdings auch Trojaner, die Funktionen aufweisen, die eher an einen Hollywood-Spionagefilm erinnern.

Vor Kurzem haben wir einen solchen hollywoodreifen Trojaner namens Skygofree entdeckt (nein, er hat nichts mit dem gleichnamigen Service „Sky“oder „Sky Go“ zu tun, sondern wurde nach einer der verwendeten Domains benannt). Skygofree weist unglaublich viele fortschrittliche Funktionen auf, denen wir zuvor noch nicht begegnet sind. Dazu zählt beispielsweise die Möglichkeit, standortbasierte Audioaufnahmen zu machen, wenn ein infiziertes Gerät an einen bestimmten Ort gelangt.

Zudem kann die Spyware eine heimliche Verbindung eines infizierten Smartphones oder Tablets zu einem von den Angreifern kontrolliertem WLAN-Netzwerk herstellen, die selbst dann möglich ist, wenn der Besitzer des Geräts alle WLAN-Verbindungen auf dem Gerät deaktiviert hat. Dadurch kann der Datenverkehr des Opfers gesammelt und analysiert werden. Mit anderen Worten: Irgendwo auf der Welt kann genau zurückverfolgt werden, welche Seiten besucht und welche Benutzernamen, Passwörter und Kartennummern eingegeben wurden.

Eine weitere Besonderheit ist, dass der Schädling den bei führenden Geräteherstellern eingebauten Batteriesparmodus umgehen kann: Das Implantat fügt sich automatisch in die Liste der „geschützten Apps“ ein, so dass es bei ausgeschaltetem Bildschirm nicht automatisch beendet wird und weiterlaufen kann.

Zudem kann die Malware beliebte Apps wie Facebook Messenger, Skype, Viber und WhatsApp überwachen. In letzterem Fall nutzt die Spyware die Verwendung von Zugangsdiensten, um WhatsApp-Nachrichten zu entwenden. In diesem Beitrag haben wir bereits erklärt, wie dieses Tool für visuell oder hörgeschädigte Benutzer von Eindringlingen verwendet werden kann, um ein infiziertes Gerät zu kontrollieren. Es handelt sich hierbei um eine Art „digitales Auge“, das genau mitliest, was auf dem Bildschirm angezeigt wird und in diesem Fall WhatsApp-Nachrichten sammelt. Die Verwendung von Zugangsdiensten erfordert die Erlaubnis des Benutzers; Skygo verbirgt die Anfrage allerdings hinter einer anderen, scheinbar unschuldigen Anfrage.

Zu guter Letzt kann Skygofree die Frontkamera unbemerkt einschalten und eine Aufnahme machen, wenn der Nutzer das Gerät entsperrt – darüber, was die Kriminellen mit den Fotos vorhaben, können wir nur spekulieren.

Abgesehen von den sehr fortschrittlichen Funktionen, haben die Entwickler des innovativen Trojaners aber auch nicht auf banale Funktionen verzichtet: Skygofree kann zudem Anrufe, SMS-Nachrichten, Kalendereinträge und andere Benutzerdaten abfangen.

Nutzern wird schnelleres Internet versprochen

Wir haben Skygofree Ende 2017 entdeckt. Unsere Analyse hat allerdings gezeigt, dass die Android-Spionage-Malware seit dem Jahr 2014 aktiv ist und seitdem stetig verbessert wurde. In den letzten drei Jahren hat sich die Malware von einer einfachen Malware zu einer vollwertigen, multifunktionalen Spyware entwickelt.

Verbreitet wird die Spyware über Internetseiten, die Seiten führender Mobilfunknetzbetreiber imitieren sollen. Wenn ein Benutzer in die Falle tappt und den Trojaner herunterlädt, wird eine Benachrichtigung angezeigt, dass das angebliche Setup im Gange ist, während der Trojaner weitere Anweisungen vom Command-Server anfordert. Abhängig von der Antwort kann er eine Vielzahl von Nutzdaten herunterladen.

Vorsicht ist besser als Nachsicht

Bis zum jetztigen Zeitpunkt konnten wir nur einige wenige Infektionen in Italien aufzeichnen. Das bedeutet allerdings nicht, dass sich Nutzer in anderen Ländern nicht schützen können und sollten. Die Verbreiter von Malware können ihre Zielgruppe schließlich jederzeit wechseln. Die gute Nachricht ist, dass Sie sich auch vor diesem fortgeschrittenen Trojaner schützen können:

  1. Installieren Sie Apps nur über offizielle Stores. Es ist ratsam, die Installation von Apps aus Quellen von Drittanbietern zu deaktivieren; das können Sie in Ihren Smartphone-Einstellungen tun.
  2. Im Zweifelsfall besser keinen Download starten. Achten Sie auf falsch geschriebene App-Namen oder dubiose Berechtigungsanfragen – all das sollte die Alarmglocken bei Ihnen klingeln lassen.
  3. Installieren Sie eine zuverlässige Sicherheitslösung, z. B. Kaspersky Internet Security for Android. So wird Ihr Gerät vor bösartigen Apps und Dateien, verdächtigen Websites und gefährlichen Links geschützt. In der kostenlosen Version müssen Scans allerdings manuell durchgeführt werden. Bei der kostenpflichtigen Version geschieht dies automatisch.
  4. Für Geschäftskunden empfehlen wir die Installation von Kaspersky Security for Mobile – eine Komponente von Kaspersky Endpoint Security für Unternehmen. So können Smartphones und Tablets geschützt werden, die Mitarbeiter bei der Arbeit nutzen.