Kommerzieller Android-Spion greift Top-Manager an

Die Experten von Skycure haben das Android-Spionageprogramm Exaspy analysiert, das in Attacken auf Unternehmensanwender aus der Führungsetage zum Einsatz gekommen ist. Wie sich herausstellte, wird dieser mobile Schädling online als Service angeboten, mit sofort verfügbarem Support zu einem Preis von 15 Dollar pro Monat. Die Analyse hat gezeigt, dass Exaspy in der Lage ist, fast die gesamte Kommunikation auf einem Smartphone abzufangen, darunter auch Textnachrichten, Skype-Sessions, Fotos und mehr.

Der neue Spion wurde im September identifiziert, als ein Kunde von Skycure auf dem Smartphone seines Mitarbeiters eine gefälschte App entdeckte, die sich Google Services nannte und in vollem Umfang mit Administratorenrechten ausgestattet war. Nach Aussage von Elisha Eshed, Forscher bei Skycure, besetzen die Infektionsopfer hohe Posten in einem transnationalen Technologieunternehmen.

Gemäß den Analyseergebnissen ist Exaspy nur mit Android-Telefonen kompatibel, wobei für die Installation des Schädlings sogar physischer Zugriff auf das Gerät erforderlich ist. Nach der Installation versucht der Schädling in erster Linie sich zu verstecken: Er gibt sich als das Programm Google Services aus, deaktiviert seine Hauptkomponente, um nicht auf der Schnellstartleiste zu erscheinen, und läuft im Hintergrundmodus. „Die App nennt sich Google Services und verwendet den Namen des Pakets com.android.protect“, schreibt Eshed im Blog von Skycure. „Sie tarnt sich ganz klar als Google Play Services.“ Der Forscher wies zudem darauf hin, dass Exaspy zum gegenwärtigen Zeitpunkt von den meisten Antiviren-Scannern für mobile Geräte nicht erkannt wird.

Nach der Installation erfragt Exaspy beim Opfer Administratorenrechte und beginnt Informationen zu sammeln, die seine Herren interessieren: SMS, MMS, IM- und E-Mail-Mitteilungen, Anrufe, Fotos, Screenshots, Kontakte, Kalendereintragungen, Browserverlauf und so weiter. Unter Verwendung des C&C-Servers des Schädlings können die Betreiber auch lokale Dateien überwachen und weiterleiten, zudem können sie „Shell-Befehle ausführen oder eine Reverse-Shell erstellen, um die Privilegien der schädlichen App mit Hilfe von Exploits zu erhöhen, die nicht im Basispaket enthalten sind.“

„Exaspy versteckt sich nicht im Darkweb, allerdings handelt es sich trotzdem um Spionagesoftware von Drittentwicklern, die in unbekanntem Umfang verwendet wird“, sagt Eshed. „Es gibt keinerlei Gewissheit, dass man diesem Unternehmen trauen kann, und das spielt auch gar keine Rolle, denn es sammelt im Auftrag seiner Kunden Informationen.“

Zu den charakteristischen Besonderheiten von Exaspy gehören laut Skycure: die Notwendigkeit, zum Zwecke der Installation, physisch auf das Gerät zuzugreifen, die Arbeit mit Administratorenrechten, die lizenzierte Aktivierung und Installation in Form eines Systempakets, wodurch die Deinstallation erschwert wird. Außerdem verbindet sich der Schädling mit Servern in der Google-Cloud, und der Download erfolgt von einer hartcodierten URL – hxxp://www[.]exaspy[.]com.

„Spionage-Apps für Android und iOS gibt es schon seit langer Zeit“, schreibt Eshed. „Trotzdem haben einige hervorstechende Ereignisse einen beunruhigenden Trend hinsichtlich der Komplexität und der Konzentration der Attacken auf hochgestellte Ziele markiert.“ Als Beispiel führt der Autor des Blogeintrags den iOS-Spion Pegasus ins Feld, der vor kurzem gegen den bekannten Aktivisten Ahmed Mansoor aus den Vereinigten Arabischen Emiraten eingesetzt wurde, und vorher bereits gegen den mexikanischen Journalisten Rafael Cabrera.

Als Vorsichtsmaßnahme empfiehlt Skycure, den Zugriff auf das Gerät mit einem PIN-Code oder durch daktyloskopische Authentifizierung zu schützen, USB-Debugging zu deaktivieren, regelmäßig die Liste der Geräteadministratoren auf Android zu überprüfen und zudem alle Komponenten zu deaktivieren, die nicht vertrauenswürdig erscheinen.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.