Hanau, 3. Oktober 2014

Viele böswillige Applikationen für mobile Endgeräte werden nicht selten zur illegalen Sammlung von Informationen bzw. Spionage eingesetzt. Davon zeugt auch der vor kurzem entdeckte Android-Trojaner. Er unterscheidet sich von derartigen Bedrohungen nicht nur durch verfügbare Funktionen, sondern auch durch die anzugreifende Zielgruppe. Die Virenanalysten von Doctor Web haben den Android-Spion als Android.SpyHK.1.origin klassifiziert.

Die neue Android-Bedrohung verbreitete sich unter Protestteilnehmern in Hongkong, die für mehr Demokratie bezüglich des Wahlsystems plädierten. Der Trojaner wurde auf mobilen Endgeräten der Aktivisten unter dem Deckmantel einer Anwendung zur Aktionskoordination installiert und sollte bei den meisten Opfern keinen Verdacht auf Überwachung erweckt haben.

Nachdem Android.SpyHK.1.origin gestartet ist, baut er eine Verbindung zum Verwaltungsserver auf, wo er Daten zum infizierten Endgerät (z.B. Betriebssystemversion, Telefonnummer, IMEI usw.) hochlädt. Danach wartet der Schädling auf Anweisungen der Übeltäter. Um illegale Befehle ausführen zu können, ist der Trojaner mit vielfältigen Funktionen ausgerüstet, und zwar:

• Inhalte des vorgegebenen Verzeichnisses (Name, Größe, Änderungsdatum für Dateien und Verzeichnisse);
• Standort des Endgeräts via GPS orten;
• Eintrag in der Log-Datei vornehmen;
• Mitteilung auf dem Bildschirm anzeigen;
• Anruf an die vorgegebene Nummer tätigen;
• Endgerätdaten sammeln;
• Shell-Skript ausführen;
• Auf erweiterte Kontaktliste (Name, Nummer, E-Mail-Adresse) zugreifen;
• Auf alle Kurznachrichten zugreifen;
• Auf das Anrufprotokoll zugreifen;
• Telefonnummern in die Liste abzuhörender Kontakte hinzufügen;
• Auf eine aktuelle Liste der abzuhörenden Kontakte zugreifen;
• Datei von einer vorgegebenen Website herunterladen;
• Vorgegebene Datei löschen;
• Vorgegebene Datei auf den Verwaltungsserver hochladen;
• Gesprächaufzeichnung aktivieren;
• Gesprächaufzeichnung aktivieren und diese an den Verwaltungsserver übertragen;
• Gesprächaufzeichnung abbrechen;
• Lokale Datenbanken des integrierten E-Mail-Clients hochladen;
• Auf den Verlauf des Web-Browsers zugreifen;
• Daten zu den auf der Speicherkarte gespeicherten Dateien und Verzeichnissen auf den Verwaltungsserver übertragen;
• Mehrere Befehle zur illegalen Datensammlung ausführen und Daten an den Verwaltungsserver senden.

Android.SpyHK.1.origin verfügt auch über Funktionen, die ihn von anderer Malware unterscheiden. Er nutzt die Sicherheitslücke im Akku-Widget aus, über die er globale Systemeinstellungen umgehen und die für ihn nötigen Optionen aktivieren kann. Obwohl diese Sicherheitslücke bereits 2011 behoben werden sollte, wird sie von Benutzern neuester Betriebssystemversionen immer noch gemeldet. Theoretisch könnte die Option zur Ortung des Endgerätes via GPS durch Android.SpyHK.1.origin aktiviert werden, auch wenn der Smartphone- oder Tablet-Benutzer diese Option deaktiviert hat.

Der digitale Spion ermöglicht durch die Übertragung von aufgezeichneten Gesprächen das Abhören in Echtzeit. Eine solche technische Lösung stellt eine Alternative zum verdeckten Anruf dar. Während die Datenübertragung im Mobilfunknetz durch Rechtschutzbehörden gesperrt werden kann, kann sie durch Übeltäter über verfügbare drahtlose Netzwerke durchgeführt werden. Dank einem leistungsstarken Server können die Cyber-Kriminellen neueste Informationen in kürzester Zeit erhalten, indem sie infizierte Android-Tablets und -Smartphones zu einem Überwachungssystem verwandeln.

Dies lässt auf einen gut durchdachten Angriff schließen, der die Datensammlung von Protestteilnehmern und ihren geplanten Aktionen in Hongkong zum Ziel hat. Es ist nicht auszuschließen, dass ähnliche Anwendungen auch in anderen Regionen der Welt eingesetzt werden. Mobile Anwender müssen deshalb höchste Vorsicht walten lassen, bevor sie ähnliche verdächtige Applikationen installieren.

Die Signatur für Android.SpyHK.1.origin wurde in die Dr.Web Virendatenbank aufgenommen. Der Schädling stellt deshalb für Anwender von Dr.Web Antivirus für Android und Dr.Web für Android Light keine Gefahr dar.