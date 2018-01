Seit Jahren verbreitet sich eine speziell auf das Betriebssystem Android ausgerichtete Malware mit dem Namen "Skygofree". Laut Kaspersky soll es sich dabei um einen Staatstrojaner aus Italien handeln. Seit 2014 ist die Android-Spionage-Malware und wurde für "zielgerichtete Cyberüberwachung entwickelt, möglicherweise auch für offensive Cyberoperationen", schreibt Kaspersky in einer Aussendung. Verbreitet wird die Software über Internetseiten, die "führende Mobilfunkbetreiber" imitieren.

Mit mehr als 48 verschiedenen Funktionen handelt es sich um eine sehr komplexe, ausgereifte Malware. Sie ist in der Lage Angreifern die "vollständige Fernsteuerung eines infizierten Geräts" zu ermöglichen. Umliegende Geräusche und Gespräche können abgehört werden. Aktivieren lässt sich die App aus der Ferne. Außerdem kann "Skygofree" auch Chatverläufe und andere Informationen aus dem Gerät auslesen.

Malware ist schwer zu identifizieren

Das Implantat verfügt über mehrere Exploits für den Root-Zugriff und ist

auch in der Lage, Bilder und Videos aufzunehmen sowie Anruferlisten,

SMS-Nachrichten, Standortlokalisierung, Kalenderereignisse und

geschäftsbezogene Informationen, die sich im Gerätespeicher befinden, zu

erfassen.

Es sei schwierig die Malware zu identifizieren, da sie in mehreren Stufen geladen wird. Sie sie zudem in der Lage, sich am Batteriesparmodus vorbeizuschummeln und sich in der Liste der geschützten Apps zu verstecken, um auch im Standby-Modus weiter "arbeiten" zu können. Die Malware kann über HTTP, XMPP, Binär-SMS oder Firebase Cloudmessaging kontrolliert werden, es gibt also eine ganze Reihe an Kontrollmöglichkeiten.

„Fortschrittliche mobile Malware ist sehr schwer zu identifizieren und

zu blockieren; das haben die Entwickler von Skygofree eindeutig zu ihrem

Vorteil genutzt, indem sie ein Implantat erschaffen und entwickelt

haben, das Ziele intensiv ausspionieren kann, ohne Verdacht zu erregen“,

sagt Alexey Firsh, Malware Analyst, Targeted Attacks Research, bei

Kaspersky Lab. „Angesichts der Artefakte, die wir im Malware-Code und

bei unserer Analyse der Infrastruktur entdeckt haben, gehen wir stark

davon aus, dass sich hinter dem Entwickler der Skygofree-Implantate ein

italienisches IT-Unternehmen verbirgt, das Überwachungslösungen

anbietet, ähnlich wie das HackingTeam.“

2015 wurden zwar die meisten Landing-Pages, also die gefälschten Provider-Webseiten identifiziert, aber im Oktober 2017 wurde erneut eine Domain registriert. Vornehmlich befinden sich die Opfer in Italien.