Sowohl Apple als auch Google haben in den vergangenen Jahren einiges unternommen, um ihre Smartphone-Plattformen besser abzusichern. Ein Umstand, der zu einem merklichen Wettrüsten in der Branche geführt hat, entsprechend ist auch mobile Spyware immer ausgeklügelter geworden. Wie solch eine professionell durchgeführte Überwachungskampagne aussieht, zeigen nun Sicherheitsforscher.

Hintergrund

Unter dem Namen Exodus kursiert seit mittlerweile fünf Jahren eine professionelle Spyware für Android-Geräte. Wie sich nun zeigt, beschränkt sich deren Wirkbereich aber nicht auf die Google-Welt. Bei Lookout ist man auf eine iOS-Variante der Schadsoftware gestoßen. Die grundlegenden Funktionen sind dabei sehr ähnlich zur Android-Ausführung: Die Spyware kann Kontakte und Fotos auslesen und über das Mikrofon die Umgebung des Smartphones belauschen, zudem hat sie Echtzeitzugriff auf den Standort des Nutzers.

Der Installationsweg ist hingegen ein anderer: Im konkreten Fall wurden Zielpersonen auf gefälschte Webseiten von Mobilfunkern gelenkt, über die ihnen eine angebliche Netzbetreiber-App angeboten wurde. In Wirklichkeit handelte es sich dabei um Malware. Die Angreifer nutzten dabei ein über das Apple Developer Enterprise Programme vergebenes Zertifikat, mit dem sich auch Apps jenseits von Apples eigenem Store installieren lassen.

Staatliche Überwachung

Wie auch unter Android, handelte es sich dabei offensichtlich um gezielte Attacken gegen einzelne Personen, im aktuellen Fall in Italien und Turkmenistan. Dies – und die Professionalität der Entwicklung – lässt Sicherheitsforscher vermuten, dass es sich dabei um kommerzielle Software handelt, die an staatliche Überwacher verkauft wird. Frühere Berichte legen nahe, dass dahinter die italienische Firma Connexxa steckt und dass Exodus unter anderem von italienischen Behörden eingesetzt wird.

Play Store

Erst vor wenigen Wochen gab es Neuigkeiten zur Android-Variante der Spyware. Damals hatten Forscher von Security without Borders 25 mit Exodus infizierte Apps in Googles Play Store gefunden. Die Verbreitung war dabei relativ gering und soll zwischen mehreren hundert und tausend Geräten gelegen sein. Insofern ist davon auszugehen, dass die Opfer gezielt zum Download dieser Apps gelockt wurden.

Der Android-Ausgabe stehen dabei – je nach Gerät – mehr Möglichkeiten als ihrem iOS-Pendant zu Verfügung, versucht sie doch, auch Root-Rechte zu erlangen, meist über einen schon seit mehreren Jahren bekannten Linux-Kernel-Fehler namens Dirty COW. Dieser wurde zwar in aktuellen Android-Geräten schon lange gefixt, ältere Devices könnten aber noch immer anfällig sein. Zudem ist es natürlich auch möglich, dass die Angreifer zum Teil andere, neuere Exploits nutzen.

Ich bin Root ...

Mit dem Root-Zugriff hatten die Angreifer dann praktisch uneingeschränkten Zugriff auf ein überwachtes Gerät, womit sie auch alle installierten Programme ausspionieren konnten. Zudem macht sich Exodus Eigenheiten einzelner Hersteller zunutze. Bei Huawei-Smartphones wurde etwa ein Feature verwendet, das verhindert, dass die App im Hintergrund pausiert wird.

Reaktion

Sowohl Apple als auch Google haben mittlerweile auf die Berichte reagiert. So hat Google die betreffenden Apps aus dem Play Store entfernt und Apple das genutzte Zertifikat zurückgezogen. Angesichts der starken Interessenlage der Überwacher ist es aber wohl nur eine Frage der Zeit, bis sich die Angreifer neue Wege suchen. Insofern bleiben für die Nutzer nur die gewohnten Ratschläge: Nämlich bei der Installation von Software immer vorsichtig zu sein und zudem das eigene Smartphone laufend auf dem aktuellen Stand zu halten – und unter Android Geräte kaufen, die das überhaupt ermöglichen. (Andreas Proschofsky, 9.4.2019)