FinFisher-Trojaner auch für iOS und Android gesichtet

[Christoph]

Zitat:

Offensichtlich sind derzeit mobile Varianten des kommerziellen Trojaners FinSpy im Umlauf. Die Forscher des Citizen Lab von der Universität von Toronto berichten, FinSpy Mobile sowohl für Android, BlackBerry, iOS, Symbian und Windows Mobile gesichtet zu haben. Die Position der Kontrollserver legt Einsatzgebiete im Nahen Osten nahe.

Hersteller der kommerziellen Spyware FinFisher ist Gamma International; die Entwicklung findet wohl in in Deutschland statt. Die Firma verkauft ihren Trojaner-Baukasten an Regierungen. Er soll derzeit alle größeren Betriebssysteme abdecken, einschließlich Linux, Mac OS X und Windows. Über die mobile Variante war bislang relativ wenig bekannt.

Aufgrund der vorliegenden Code-Samples ist Citizen Lab überzeugt, dass es sich bei den analysierten Mobiltrojanern um FinSpy Mobile handelt. Der Trojaner soll Telefonate, SMS-Mitteilungen und E-Mails weiterleiten können, Räume über stille Telefonate überwachen, Dateien herunterladen und die Position des Trägers verfolgen. Angeblich kann FinSpy auch den BlackBerry Messenger ausspähen. Meist gelangt der Trojaner über präparierte E-Mails auf das Smartphone.

Die iOS-Variante läuft auf allen iPad-Varianten, dem iPhone 4 und 4S sowie auf dem iPod Touch der dritten und vierten Generation; Mindestvoraussetzung ist iOS 4. Die App installiert sich versteckt, lädt dann Code nach, klinkt diesen in den Startvorgang ein und hängt danach tief im System. Im Dropper fanden die Forscher den String "FinSpyV2". Da der Dropper ein gültiges Entwicklerzertifikat und ein Ad-Hoc-Distribution Profile enthält, nehmen iOS-Geräte ihn auch ohne Jailbreak entgegen. Das Zertifikat ist auf Martin Münch ausgestellt – so heißt der Geschäftsführer der deutschen Niederlassung von Gamma International.

Auf Android-Smartphones installiert sich das Programm als signierte "Android Services"; auf Symbian-Geräten als "System Update", das angeblich von "Cyan Engineering Services" stammt. Die BlackBerry-Version gibt sich als "rlc_channel_mode_updaters" aus und ist mit RIM-Schlüsseln signiert. Aus dem Entwicklerschlüssel ließen sich mehrere Telefonnummern auslesen. Dabei scheint es sich aber um falsche Fährten zu handeln: Die deutsche Nummer führt jedenfalls zu einem Privatanschluss. Unter Windows Mobile gibt sich der FinSpy-Dropper ähnlich wie bei Android als Systemdienst aus, hier heißt er "services.exe" und schiebt dem Smartphone zwei DLLs unter.

Im Rahmen seiner Untersuchungen fand Citizen Lab mutmaßliche Kontrollserver für FinFisher in zehn Ländern: Ähtiopien, Bahrein, Brunei, Indonesien, Mongolei, Singapur, Turkmenistan und in den Vereinigten Arabischen Emiraten, aber auch in den Niederlanden sowie in Tschechien. Diese Liste deckt sich teilweise, aber nicht vollständig mit der FinFisher-Analyse von Rapid 7.

Für Spionagezwecke entwickelte Trojaner-Baukästen sind offenbar en vogue: Ende Juli wurde der Crisis-Trojaner der italienischen Spyware "Da Vinci" zugeordnet, deren Module neben Mac OS und Windows auch Windows-Mobile-Smartphones infizieren konnten. (ghi)

Quelle: http://www.heise.de/newsticker/meldu...t-1679019.html

[Christoph]

Zitat:

Smartphone-Trojaner saugt sensible Daten
Kanadische Forscher fanden Spyware für alle gängigen Plattformen.

Forscher des Citizen Lab von der Universität von Toronto berichten davon, dass derzeit mobile Varianten des kommerziellen Trojaners FinFisher im Umlauf sind. So sollen Versionen für Android, BlackBerry, iOS, Symbian und Windows Mobile gesichtet worden sein.

Hersteller der Spyware ist Gamma International. Laut heise.de wird der Trojaner in Deutschland entwickelt. Ganz im Gegenzug zu den Kontrollservern, die sich hauptsächlich im Nahen Osten befinden. Gamma International verkauft den Trojaner-Baukasten an Regierungen, die Desktop-Version der Spyware soll bereits auf den gängigsten Betriebssystemen (Mac OS X, Windows, Linux) gesichtet worden sein.

Citizen Lab ist nach einer Analyse der Codes sicher, dass es sich bei der auf den Smartphones entdeckten Spyware um einen mobilen Ableger des FinFisher-Trojaners handelt. Dieser spioniere Telefonate, SMS-Mitteilungen, E-Mails und den Aufenthaltsort aus und würde diese auch weiterleiten. Der Trojaner ermögliche außerdem, dass Dateien heruntergeladen und mittels stillen Telefonaten Räume abgehört werden.

Tablets ebenso befallen.
FinFisher gelange in den meisten Fällen über präparierte E-Mails auf das Smartphone. Aber auch Tablets sind vor dem Trojaner nicht gefeit. So soll die Spyware sämtliche iPad-Generationen infiltrieren können, Voraussetzung ist iOS 4. Die App würde sich versteckt installieren und dann sämtliche Codes nachfordern, die sich tief ins System graben. Auf Symbian-Geräten installiert sich der Trojaner als "System_Update", auf Android-Smartphones präsentiere sich die Spyware als signiertes "Android_Service".

Laut Nachforschungen des Citizen Lab sind die Kontrollserver in zehn verschiedenen Länder zu finden, ein Großteil davon befindet sich im Nahen Osten. Es wurden aber auch Server in Tschechien und den Niederlanden ausfindig gemacht.

Quelle: http://futurezone.at/digitallife/110...ible-daten.php