Die Bekämpfung von Schadsoftware ist nicht zuletzt auch ein Katz-und-Maus-Spiel. Während Softwarehersteller darauf bedacht sind, Schädlinge so schnell wie möglich auszusperren, arbeiten Malware-Autoren mit immer neuen Tricks daran, ihre Aktivitäten zu verschleiern. Nun hat Google eine neue Spyware-Familie für Android aufgedeckt, das besonders Interessante daran: Es deutet vieles darauf hin, dass es sich hierbei um einen Staatstrojaner handelt.

Urheberschaft

Der "Lipizzan" getaufte Schädling weist in seinem Quellcode Spuren in Richtung der Firma Equus Technologies auf, streicht Google in einem Blog-Posting heraus. Dabei handelt es sich um ein Unternehmen, das auf kommerzielle Spionagesoftware für Behörden spezialisiert ist, die zur Überwachung einzelner Personen eingesetzt wird. Auf einen solchen gezielten Einsatz weisen auch andere Faktoren hin: So konnte Google zwar insgesamt 20 verschiedene Varianten von Lipizzan ausmachen, insgesamt wurden aber nur hundert infizierte Geräte gefunden.

Die Fähigkeiten von Lipizzan sind jedenfalls recht umfassend: Die Spyware kann unter anderem Anrufe – auch über VOIP – mitschneiden, allgemein den Raum über das Mikrofon abhören, den Standort auslesen oder alle möglichen Daten aus den installierten Apps extrahieren. So gibt es denn auch spezifische Codebestandteile, die auf die Überwachung von beliebten Programmen wie Gmail, WhatsApp, Skype oder auch LinkedIn abzielen.

Verschleierung

Zudem ist Lipizzan sehr darauf bedacht, nicht entdeckt zu werden. Die erste Stufe der Spyware überprüft lediglich, ob der eigentliche Trojaner auf dem jeweiligen Gerät problemlos installiert werden kann. Erst wenn hier das "Ok" gegeben wird, folgt die Infektion über eine zweite App, die nachgeladen wird.

Nicht zuletzt aufgrund dieses Aufbaus ist es den Angreifern auch gelungen, in den Play Store von Google zu gelangen, über den zumindest ein Teil der Infektionen abgewickelt wurde. Dort tarnten sie sich unter anderem als "Backup" oder "Cleaner"-Apps. Mittlerweile hat der Android-Herstellern all die erwähnten Spionage-Apps nicht nur aus dem Play Store sondern auch von den Geräten der anvisierten User entfernt. Zudem wurden die Betroffenen über die Spionageaktivitäten informiert.

Vor weiteren Infektion mit Lipizzan soll Google Play Protect schützen, das auf praktisch allen im Umlauf befindlichen Android-Smartphones installiert ist, und diese regelmäßig auf Malware prüft.

Vorgeschichte

Es ist nicht das erste Mal, dass Google gegen Staatstrojaner vorgeht. Im Vorjahr hatte man den Pegasus-Trojaner blockiert, der vom konkurrierenden Cyberwaffenhersteller NSO Group stammt. Zu Equus Technologies ist vergleichsweise wenig bekannt, das Unternehmen scheut offenbar bewusst das Licht der Öffentlichkeit, so gibt es nicht einmal eine offizielle Webseite. Laut Motherboard ist Equus aber ein regelmäßiger Gast auf Sicherheitskonferenzen, zumindest ein Mitarbeiter soll auch zuvor für die NSO Group gearbeitet haben. (Andreas Proschofsky, 28.7.2017)