Google warnt vor neuer Spyware-Aktion

In den vergangenen Jahren sorgte die Spionagesoftware Pegasus der israelischen Firma NSO Group für großen Wirbel. Denn die Software wurde zum Teil auch von autoritären Staaten verwendet, um Journalisten, Menschenrechtsaktivisten und Anwälte auszuspähen. Berichten zufolge ist kürzlich eine weiteres Spionage-Tool entdeckt worden. In einem aktuellen Blog-Beitrag der Threat Analysis Group (TAG) von Google wird von einer neuen Spionagekampagne berichtet, die auf iPhone- und Android-Nutzer zielt. Die Spyware wird dem italienischen Unternehmen RCS Labs zugeordnet.

Ähnlich wie bei Pegasus soll es sich dabei um staatliche Überwachung handeln. Nach den Angaben von Google wurde das italienische Hacking-Tool dazu verwendet, um iOS-und Android-Geräte in Italien und Kasachstan auszuspionieren. Für die Verbreitung der Malware hätten überwiegend gefakte SMS der Mobilfunkanbieter gesorgt, heißt es.

Infektion per Drive-by-Downloads

Laut Google wurde dazu zunächst die Mobilfunk-Verbindung unterbrochen, anschließend hätten die Opfer eine SMS mit einem Link erhalten , der angeblich die Verbindung wieder aktivieren sollte. Doch beim Draufklicken wurde stattdessen der Trojaner heruntergeladen. In anderen Fällen soll der Link nicht in einer Anbieter-SMS versteckt worden sein, sondern in Sicherheits-Patches von Messenger-Diensten oder sozialen Netzwerken.

Nachdem die Schadsoftware heruntergeladen wurde, tarnte sie sich als Provider-App. Bemerkenswert dabei ist, dass die Installation auch auf iPhones funktioniert: Eigentlich unterbindet Apple nämlich das sogenannte Sideloading, also die Installation von Anwendungen von Quellen außerhalb des eigenen App-Stores. Doch in diesem Fall hätten sich die Angreifer laut Google ein Zertifikat des Enterprise Developer Program verschafft, um die Installation zu ermöglichen.

Auf Android-Geräten soll sich das Schad-Tool als Samsung-Programm ausgegeben haben. Dort sei Sideloading generell möglich, auch wenn dafür zunächst einige Sicherheitssperren deaktiviert werden müssten. Im Nachgang habe sich die Spyware dann sämtliche Berechtigungen der beiden Systeme eingeholt, um die Geräte zu überwachen, so die Sicherheitsexperten von Google.

"Diese Kampagne ist ein gutes Beispiel dafür, dass Angreifer nicht immer Exploits verwenden, um die erforderlichen Berechtigungen zu erlangen. Einfache Infektionsvektoren und Drive-by-Downloads funktionieren immer noch und können mit Hilfe lokaler Internet Service Provider sehr effizient sein", fasst das TAG-Team zusammen. Die Experten gehen davon aus, dass die Spyware-Branche künftig noch stärker wächst. Dies stelle ein "ernsthaftes Risiko" für die Sicherheit im Internet dar.

Auch das US-amerikanische Sicherheitsunternehmen Lookout warnte vor kurzem vor Spionageangriffen auf Android-Geräten mit der gleichen Spyware. Dahinter soll der kasachische Staat stehen.

Reaktionen auf die Spionagekampagne

Auf Nachfrage der Nachrichtenagentur Reuters erklärte der Spyware-Anbieter: "Mitarbeiter von RCS Lab sind nicht Teil der Aktivitäten, die von den entsprechenden Kunden durchgeführt werden." Alle Produkte und Angebote würden den europäischen Regularien entsprechen.

Google hat nach eigenen Angaben bereits Schritte eingeleitet, um seine Nutzer zu schützen. Auch Apple gab gegenüber Reuters an, in Reaktion auf die Hacking-Kampagne alle Konten und Zertifikate widerrufen zu haben, die mit dieser in Verbindung stehen könnten.