Zimperium, Sicherheitsexperte für Echtzeitschutz auf Mobilgeräten, hat die neue Android-Spähsoftware Phonespy entdeckt, mit der Angreifer die vollständige Kontrolle über Mobilgeräte übernehmen und auf persönliche Informationen zugreifen können. Als erweiterter Remote Access Trojaner (RAT) führt die Mobilapplikation beliebige Befehle auf betroffenen Android-Geräte aus, um sensible Daten auszuschleusen und Rechner fernzusteuern.
PhoneSpy setzt Off-the-Shelf-Code ein und hinterlässt so weniger Spuren, die eine Enttarnung der Angreifer im Hintergrund erleichtern würden. Das Spähprogramm wird über Drittquellen installiert, also beispielsweise inoffizielle Webseiten. Die Spionagesoftware tarnt sich unter anderem als TV-Streaming-Dienst, Fotomanagement-App oder Yoga-Fitness-Anwendung und verfügt nach Installation über umfassende Zugriffsrechte:
- Daten-Exfiltration, einschliesslich E-Mails und anderer sensibler Informationen
- Aufnahme oder Live-Streaming von Video- und Audiodaten
- Anzeige von SMS-Nachrichten (z. B. Zwei-Faktor-Authentifizierungsnachrichten)
- Senden von SMS-Nachrichten als Besitzer des Geräts
- Bearbeitung von Kontaktinformationen im Adressbuch
- Aktivierung der Anrufweiterleitung (auf beliebige Nummern der Angreifer)
- Anzeige der GPS-Standortdaten
Die Risiken durch solch leistungsstarke Spyware sind immens und können von der Kompromittierung sensibler Persönlichkeitsdaten bis zu sicherheitsrelevanten Unternehmens- oder Behördendaten reichen.
FBI und südkoreanische Behörden in Kenntnis gesetzt
„Die Opfer verschickten ihre privaten Informationen an böswillige Akteure, ohne auch nur Verdacht zu schöpfen, dass etwas nicht stimmen könnte“ schreibt Aazim Yaswant, Sicherheitsforscher bei Zimperium zLabs in seinem Blogbeitrag. „Angesichts der Möglichkeit, auf diesem Weg persönliche Kontaktlisten herunterzuladen und SMS-Nachrichten im Namen der kompromittierten Nutzer zu versenden, ist die Wahrscheinlichkeit hoch, dass durch verschickte Phishing-Links weitere Anwender angegriffen werden.“ Die weiterhin aktive Spionagesoftware Phonespy nimmt Nutzer mit Android-Geräten ins Visier. Bei inzwischen mehr als tausend Opfern hatten die Angreifer bereits Vollzugriff auf persönliche Daten, Kommunikationsverbindungen und Gerätedienste. Aktuell sind Nutzer in Südkorea betroffen, aber Phonespy zeigt exemplarisch, wie sich bösartige Applikationen erfolgreich tarnen lassen. Die betroffenen Nutzer verschickten private Informationen an die Hinterleute der Kampagne, ohne Verdacht zu schöpfen. Aufgrund der Gefährlichkeit der Spyware-Kampagne hat Zimperium die Sicherheitsbehörden Südkoreas und der Vereinigten Staaten von Amerika informiert, die vor Ort eine wichtige US-Militärpräsenz haben.