RCSAndroid von Hacking Team: Totale Überwachung von Android-Geräten

Sicherheit
Teile diesen Artikel:

HackerIm TrendLabs Security Intelligence Blog von Trend Micro wurde vom Autoren Veo Zhang ein Eintrag veröffentlicht, der allen Android-Nutzern wie ein großes, rotes Achtung!-Schild vorkommen sollte. In diesem Eintrag berichtet der Autor von der Software RCSAndroid – ein Kürzel, welches Remote Control System Android bedeutet. Was es damit auf sich hat, das erklären wir im Folgenden.

Die Software kommt von einem italienischen Unternehmen

Hacker Team, so heißt die Firma, welche mit der Software Suite für die totale Überwachung von Android-Geräten schon seit 2012 aktiv sein soll. Zudem sollen von dem Unternehmen auch andere Überwachungs-, Malware- und weitere Codes ausgehen. Mit Vertretungen in Mailand, Italien; Annapolis, Maryland; und Singapur präsentiert sich die Firma Hacker Team.

Die von Veo Zhang analysierten und in dem oben benannten Blogeintrag (hier in Englisch zu finden) auseinandergenommenen Codes stammen aus einer geleakten Datensammlung. Dass Hacker Team selbst Opfer von Hacking-Angriffen und von Cyber-Diebstahl geworden ist, das gibt das Unternehmen auf der eigenen Webseite zu. Die Analyse, auf die wir nun eingehen werden, ist mehr oder weniger erschreckend für alle Android-User.

Das kann man alles mit RCSAndroid machen

Veo Zhang, auf der Trend Micro Seite als „Mobile Thread Analyst“ bezeichnet, listet in dem benannten Blogeintrag alle möglichen Funktionen, die man mit RCSAndroid durchführen kann, fein säuberlich auf. Hier die von uns ins Deutsche übertragene Liste:

Von dem geleakten Code ausgehend kann die RCSAndroid App sich folgendermaßen einmischen, um das Ziel auszuspionieren:

  • Erstellen von Screenshots mit der „Screencap“-Funktion […]
  • Anzeigen des Zwischenablage-Inhalts
  • Sammeln von Passwörtern für WLAN-Netzwerke und Online-Konten; inkl. Skype, Facebook, Twitter, Google, WhatsApp, Mail, LinkedIn
  • Audioaufnahmen mit dem Mikrofon
  • Sammeln von SMS, MMS und Gmail-Nachrichten
  • Standortbestimmungen sowie deren Aufzeichnung
  • Sammeln von Geräteinformationen
  • Aufnehmen von Fotos mit Front- und Hauptkamera
  • Sammeln von Kontakten und dekodieren von Nachrichten aus Messengern; inkl. Facebook Messenger, WhatsApp, Skype, Viber, Line, WeChat, Hangouts, Telegram und BlackBerry Messenger
  • Aufnehmen von Telefonaten in Echtzeit, unabhängig von der verwendeten Funktion oder App […]“

Kurz zusammengefasst: mit dieser Spionage-Software kann man sich nicht nur die Inhalte des Telefons aneignen, sondern auch die Zielperson rund um die Uhr überwachen.

Die Software ist schon 3 Jahre im Umlauf

Laut der Analyse von Veo Zhang ist die Software RCSAndroid schon seit 2012 im Einsatz. Das geht unter anderem aus den Konfigurationsdateien hervor, die geleakt wurden. Diese Dateien sorgten auch dafür, dass die Software vom Zielgerät aus mit einem für das System gekauften Server in den USA kommunizieren konnte. Konnte – denn der Server soll aktuell nicht erreichbar sein.

Zudem geht aus den Codes, welche im Blog von Trend Micro der Analyse preisgegeben werden, hervor, dass die Aktivierung der Spionage-App vermittels einer SMS geschieht. Die Hauptaktivierung und auch die Auswahl der oben gelisteten Funktionen sollen mit entsprechenden SMS geschehen. In den veröffentlichten Dokumenten ist eine Mobilfunknummer aus der Tschechischen Republik gefunden worden. Zudem gehören zu den von der Firma Hacker Team entwendeten Dokumenten auch eine Reihe E-Mails. Nach deren Auswertung geht hervor, dass das Unternehmen mit einer tschechischen Firma in Kontakt stand, welche ein großer IT-Partner der Olympischen Spiele ist.

Wie kann sich ein Gerät diese Software einfangen?

Die Installation von RCSAndroid ist im Grunde schnell in die Wege geleitet. Laut Veo Zhang reicht eine SMS, eine E-Mail oder die Installation einer App, welche den Spionage-Code nicht offensichtlich enthält, sondern ihn wie einen Virus mitbringt. Der Code dieser Software wird vom Android Sicherheitssystem nicht erkannt. Deshalb kann sich der Nutzer nicht auf Warnungen verlassen – auch nicht, was zusätzliche Antivirenprogramme etc. angeht.

Da die Installationsprozedur in wenigen Schritten über Root-Rechte realisiert und so das System nicht nur mit einer App, sondern mit der Veränderung des Systems infiltriert wird, bedarf es auch aufwändigen Maßnahmen, um RCSAndroid wieder zu entfernen.

Nutzer können sich schützen

Aus den geleakten Informationen geht wohl auch hervor, dass „nur“ Geräte mit einem System bis 4.4.4 KitKat betroffen sein können. Allerdings wird Hacker Team die Software auch ständig anpassen. Deshalb gibt es in dem besagten Blogeintrag von Trend Micro ein paar Tipps für User:

  • Man soll die App-Installation von unbekannten Quellen und Drittanbietern deaktivieren.
  • Jedes Update von Android soll durchgeführt werden, vor allem wenn es ein Upgrade des Betriebssystems ist.
  • Auch wird die Installation eines mobilen Sicherheitsservice empfohlen – aber keine Empfehlung gegeben.

Sollte das eigene Gerät einmal von der Software betroffen sein, dann kann diese nur mit Root-Berechtigungen beseitigt werden. Möglicherweise muss man sich dann an den Hersteller wenden und die Firmware flashen lassen. Das heißt, dass die Firmware und damit auch das Betriebssystem vom System gelöscht und dann wieder taufrisch aufgespielt werden.

Zum Schluss: Wie erkennt man das Vorhandensein von RCSAndroid?

Es gibt ein paar Hinweise, die darauf deuten können, dass ein Android-Gerät mit der Software behaftet ist. Diese sind aber keine 100-prozentigen Beweise:

  • Das Gerät startet unerwartet neu, evtl. mehrfach
  • Der Nutzer findet neue Apps, die er nicht aktiv installiert hat
  • Messenger stocken oder frieren kurz ein