WhatsApp-Spionage bei Android: So liest die Polizei deine Chats und macht Selfies

Stefan Bubeck 3

„Skygofree“ nennt sich ein Staatstrojaner für Geheimdienste, der Inhalte verschlüsselter WhatsApp-Nachrichten an Behörden übermitteln, das Mikro einschalten und Selfies machen kann. Die Software ist ein kompletter Spionage-Werkzeugkasten – aber wie kommt er auf unsere Smartphones?

WhatsApp-Spionage bei Android: So liest die Polizei deine Chats und macht Selfies
Bildquelle: GIGA / Pixabay.

Skygofree: Der WhatsApp-Staatstrojaner

Laut dem russischen Sicherheitssoftwareunternehmen Kaspersky Lab ist der Android-Trojaner „Skygofree“ bereits seit 2014 im Einsatz. Es handelt sich um eine „hoch entwickelte, mehrstufige Spyware, die Angreifern die vollständige Fernsteuerung eines infizierten Geräts“ ermöglicht. Dazu gehört neben dem Mitlesen der eigentlich verschlüsselten Chat-Nachrichten auch „standortbasierte Audioaufnahmen über infizierte Geräte“.

Das bedeutet im Klartext, dass Behörden (Polizei, Geheimdienste) mit Skygofree unter anderem folgendes können:

  • WhatsApp-Nachrichten mitlesen, trotz Verschlüsselung
  • SMS mitlesen
  • den aktuellen Standort des Handys ermitteln
  • Bilder und Videos aufnehmen (auch Selfies)
  • Das Mikrofon des Handys heimlich aktivieren

Skygofree beherrscht laut den Sicherheitsexperten insgesamt 48 verschiedene Befehle, die von Angreifern genutzt werden können. Der Trojaner könne „Ziele intensiv ausspionieren, ohne Verdacht zu erregen“, so Alexey Firsh, Malware Analyst, Targeted Attacks Research, bei Kaspersky Lab.

Skygofree: Android und Windows im Visier

Betroffen sind in erster Linie Android-Benutzer, die Forscher von Kaspersky haben allerdings auch Windows-Module entdeckt. Wer iOS nutzt, scheint nach aktuellem Kenntnisstand auf der sicheren Seite zu sein. Der Ursprung des mächtigen Spionage-Tools liegt vermutlich in Italien, dort wurde es nach Angaben der Forscher entwickelt und auch schon eingesetzt.

Der Trojaner gelangt über täuschend echt aussehende Download-Seiten auf das Smartphone. Der Benutzer meint, sich auf einer offiziellen Seite eines Providers zu befinden und wird dort zum Softwareupdate aufgefordert:

Die Spionage-Software umgeht sogar den Batteriesparmodus und fügt sich in die Liste der „geschützten Apps“ ein, sodass sie bei ausgeschaltetem Bildschirm nicht beendet wird und weiterläuft.

Auch die Ende-zu-Ende-Verschlüsselung von Chats in WhatsApp wird geschickt ausgehebelt: Statt sie zu knacken, werden die „Accessibility Services“ von Android genutzt. Diese sind eigentlich für die Entwicklung barrierefreier Apps gedacht, die etwa sehbehinderten Menschen den Bildschirminhalt vorlesen. Auf diese Weise kommt Skygofree an Textnachrichten ran, die eigentlich verschlüsselt sind.

Wer trotz der erschreckenden Entdeckung weiterhin nicht auf Messenger wie WhatsApp verzichten möchte, sollte wissen, dass „Gefahren“ auch ganz woanders lauern:

Bilderstrecke starten
10 Bilder
9 Sätze, die ihr niemals über WhatsApp versenden solltet.

Wie schützt man sich vor dem Trojaner Skygofree?

Da die Verbreitung offenbar über gefälschte Landingpages geschieht, ist hier Vorsicht geboten. Webseiten, die scheinbar vom Mobilfunkprovider stammen und zur Aktualisierung, Konfiguration oder einem Update auffordern – da sollte man nicht blindlings den Anweisungen folgen, sondern die Seite lieber schließen.

Wenig überraschend: Kaspersky Labs empfiehlt die Sicherheitslösung aus dem eigenen Haus. So heißt es: „Kaspersky Lab entdeckt die Versionen von Skygofree für Android unter der Bezeichnung ,HEUR:Trojan.AndroidOS.Skygofree.a‘ und ‚HEUR:Trojan.AndroidOS.Skygofree.b‘ sowie die Windows-Samples unter ,UDS:DangerousObject.Multi.Generic‘.“

Kaspersky Mobile Antivirus: AppLock & Web Security

Wie schützt ihr euer Smartphone und hattet ihr schon einmal das Gefühl, ausspioniert zu werden? Schreibt uns in die Kommentare.

Quellen: Kaspersky Lab, Securelist, Ars Technica

* gesponsorter Link