FinSpy Mobile: Deutscher Staatstrojaner FinFisher für iPhone, Android und Blackberry enttarnt

Nach der Enttarnung des Staatstrojaners FinSpy aus der Produktpalette von FinFisher sind jetzt auch Versionen für mobile Endgeräte entdeckt und analysiert wurden. Forscher des Citizen Lab haben Trojaner für iOS, Android, BlackBerry, Windows Mobile und Symbian enttarnt, die sie für Varianten von FinSpy Mobile halten. Die Software kann die Telefone komplett überwachen, inklusive Mikrofon und Ortung.

Wie bereits bei der enttarnten Windows-Version nutzen auch die neuen Versionen für Smartphones und Tablets Strings wie „FinSpy“ oder den Namen des Firmenchefs „Martin Muench“, Domains wie „demo-de.gamma-international.de“ und Command & Control Server, die „Hallo Steffi“ antworten:

Die Trojaner können die volle Kontrolle über die Smartphones übernehmen, inklusive dem Aufzeichnen aller Kommunikation wie Telefonaten, SMS und Blackberry Messenger, dem Download aller Dateien, dem heimlichen Anschalten des Mikrofons und die Überwachung des Aufenthaltsortes des Mobilgeräts in Echtzeit.

Überwachungs-Geräte in der Tasche

Über den Infektionsweg sagt das Team um Morgan Marquis-Boire wenig. Nur: Falls die Trojaner die mobilen Betriebssysteme nicht direkt angreifen, benötigen alle untersuchten Exemplare eine Interaktion des Nutzers, wie dem Klicken auf einen Mail-Anhang oder eine Webseite.

Neben den neuen Versionen haben die Forscher des Citizen Lab auch weitere Kommando-Server in Äthiopien, Bahrain, Brunei, Indonesien, Mongolei, Niederlande, Singapur, Tschechische Republik, Turkmenistan und den Vereinigten Arabischen Emiraten gefunden. Damit bestätigen sie weitgehend die Analyse von Rapid 7. Nicht alle diese Staaten setzen jedoch automatisch den Trojaner ein, mindestens der Amazon-Cloud Server in den USA war wohl nur ein Proxy.

Vernon Silver berichtet auch über die neueste Analyse auf Bloomberg News. Ihm gegenüber bestätigte Firmenchef Martin J. Muench, dass Gamma mit FinSpy Mobile auch einen Trojaner für mobile Endgeräte verkauft. Wie, und auf welchen Plattformen, dazu will er keine Auskunft geben.

Gegenüber netzpolitik.org bestätigte Muench, dass die bisher analysierten Samples „von den Funktionalitäten her definitiv Ähnlichkeiten“ zu FinFisher haben, aber für eine endgültige Bestätigung mehr Zeit für die Analyse notwendig ist. „Sofern es sich tatsächlich um FinSpy handelt, so muss es hier eine Version sein die temporär z.B. für Produktdemonstrationen verwendet wurde“, so Muench. Auch Bloomberg zitiert eine Pressemitteilung von Gamma, dass eine Demo-Version der Software gestohlen worden sei:

“The information that was stolen has been used to identify the software Gamma used for demonstration purposes,” the release said. “No operations or clients were compromised by the theft.” The Gamma statement said that while its demo products contain the word “FinSpy” — a marker the researchers used to help identify samples — its more sophisticated operational products don’t.

Gamma hält sich laut eigenen Aussagen beim Export seiner Überwachungs-Software an die „Exportbestimmungen in Großbritannien, den Vereinigten Staaten und Deutschland“. Dumm nur, dass die in Deutschland gar nicht kontrolliert werden.

21 Ergänzungen

  1. Bleibt die Frage wie man so eine Software auf das Gerät bekommt, auf einem BlackBerry müsste der Nutzer der Software auch alle diese Rechte einräumen (einige werden durch „Ich vertraue der Software“ abgehakt, andere müssten explizit eingeräumt werden).
    Bei einem Firmengerät wären viele Funktionen wohl durch restriktive Firmenrichtlinien unwirksam, selbst wenn ein Nutzer eigene Software installieren darf.
    Mit Content Protection wären auch Dateien, Mails usw geschützt da dann 3rd Party Anwendungen nicht mehr darauf zugreifen können.

    Möglich wäre wohl eine Installation während einer Flughafenkontrolle o.ä. (bei einem Privat-BB).

    Telefonate können auf einem BB nicht mitgeschnitten werden, gibt keine API dazu. Vorhandene Lösungen leiten Anrufe über Server um.

    Wirklich verstecken kann sich eine Software auch nicht, in der Modulliste wäre sie auf jeden Fall enthalten.

    Ansonsten ist es für Strafverfolger (oder Geheimdienste) doch viel komfortabler die Position beim Provider nachzufragen, SMS und Anruflisten gibt es da auch.

    1. Der Benutzer ist nicht wirklich von nöten. Wie GSM Researcher wie Harald Welte, Carsten Nohl etc darauf schon seit Jahren darauf hinweisen, ist der Basebandprozessor (der sich um die Funkübertragung kümmert) extrem anfällig. Da lässt sich neuer Code unterschieben, auf dem Funkchip oder auch auf der Simcard.

  2. Eigentlich hätten unsere Politiker ein ernsthaftes Interesse daran, dass solche Spyware nicht auf deren kostbaren Spielzeugen landet. Es muss wohl erst ne Reihe von persönlichen Peinlichkeiten ans Tageslicht kommen, bis da Bewusstsein für die Technik entsteht und sie sich Gedanken machen, wie sie ihre Computerwanzen wieder „sicher“ machen können.

  3. Kann mit jemand erklären wieso §202 StGb hier nicht anwendbar ist und sie Herrn Muench nich einfach einknasten und seine *piiiiiiieeeep* firma zumachen?

    1. Vl. sollte man mit Herrn Muench ähnlich verfahren wie mit HGBary.

      Hat eigentlich schon mal jemand geschaut, ob in Backtrack der Trojaner auch drin ist? Würde mich nicht wundern!

      Von Hackerethik hat der Mensch wohl nicht viel gehört.

  4. Warum werden solche Firmen nicht wie andere „Cyberkriminelle“ oder „Computerterroristen“ behandelt? Schon klar – die arbeiten jetzt für den Staat, aber sicher nicht von Anfang an. Und für den Staat zu arbeiten schützt ja auch nicht vor Straffreiheit, wie im Fall Digitask schon von Fachleuten vorgeschlagen wurde.

    Übergangsweise könnte Anonymous ja ebenfalls eine GmbH mit dem Zusatz „Computersicherheit“ gründen (und „International“ sind sie auch!), um vor staatlicher Verfolgung geschützt zu sein. ;)

  5. Üblicherweise wird heutzutage ja meist die Systemupdate Funktion dafür Zweckentfremdet , sei es bei den OS Herstellern oder auch App Entwicklern. Es ist kaum noch glaubhaft das Firmen wie Microsoft damit nichts zu tuen haben wie sie behaupten und es nur illoyale Mitarbeiter waren welche Sicherheitszertifikate entwendeten.
    Zumal sie in den USA sogar per Gesetz dafür verpflichtet werden können.
    Daher werden wohl in Zukunft weniger „Sicherheitslücken“ oder Rootkits verwendet zum Aufspielen eines Trojaners wegen der Nebeneffekte bei einer Enttarnung und weil diese mit der Zeit weniger und Teuer werden.

  6. Gibt es eigentlich eine Möglichkeit zu überprüfen ob man sich auf seinem Mobil- oder Festgerät einen der besagten Trojaner eingefangen hat? Nachdem sie entdeckt wurden sollte das doch kein Problem mehr sein die Festplatte nach entsprechenden Programmen zu scannen.

      1. In der Quelle steht für den iOS-Trojaner:

        „It then installs: /System/Library/LaunchDaemons/com.apple.logind.plist“

        Das wäre mir genauso neu wie unverständlich, wenn AppStore-Apps LaunchDaemons installieren könnten. Für mich liest sich das so, als sei ein Jailbreak Voraussetzung. Es wird im Artikel aber nicht explizit genannt. Eine Klarstellung wäre hilfreich.

    1. da haste recht!

      „apple passat auf seine kunden auf“ heisst hier nix anderes als das apple finfisher funktionalitäten von hause aus mitbringt und das apple dich überwacht ;)

      mich würds nicht wundern, wenns in iOS was gibt, daß es staatlichen stellen ermöglicht ihre maleware einzuspielen ohne das der nutzer das mitbekommt. das erspart apple sicher einiges an ärger mit den behörden, die ständig sachen wie „fuck, wo ist der typ?“ oder „der sieht komisch aus, der hat doch sicher kinderpornos aufm iphone?“ und „drecks jurnalisten, ihr habt da doch daten von dem, oder?“ fragen…

  7. Ist es zu erwarten, dass CyanogenMod oder ander Mods von Android in Zukunft auf bereits bekannte Infektionswege aufmerksam machen, bzw diese schneller schließen? Oder sollte man gar Mods als höher einstufen in der Wahrscheinlich präpariert zu sein?

  8. Eine Ende wird das ganze mit Sicherheit nie haben so lange wir hier in Deutschland leben. Kontrolle ist in unserem Staat ja nichts neues mehr.

  9. Der Thread ist zwar schon sehr alt aber das Thema immer wieder aktuell.
    Man braucht nicht mehr darüber debattieren ob der Staat einen ausspioniert oder es andere Leute machen. Ja wir werden ausspioniert jeden Tag von morgends bis abends . Der Staat oder besser die Staaten (D,USA,GB,F,I,Benelux) .
    Einerseits ist es Scheisse wenn mir fremde Personen meine Daten und Bilder haben . Aber was ganz viele vergessen und vor allem die Jenigen die auf den überwachungstaat Deutschland schimpfen ist. Wir sind hier in Deutschland sehr sehr sicher . Diese fremden Leute die sich Daten über oder von mir ansehen (sofern sie dies tun) denen werde ich zu 99% in meinem Leben nicht über den Weg laufen. Außerdem glaube ich nicht das dort 1000 Beamte sitzen und sich die Daten durchlesen , es wird wahrscheinlich alles in automatische Statistiken verpackt und wer dann mit irgendetwas auffällig wird , da wird dann genauer geschaut.
    Die jenigen die so über den „bewachungsstaat Deutschland“ schimpfen sei gesagt , wenn ihr das alles so wisst und euch das alles so unglaublich dolle stört , dann kauft euch doch kein Smartphone ,Smart-Tv, Laptop . Dann lebt doch wie in den 80igern Anfang 90ern . Da der Fortschritt so wächst und es immer mehr Neider gibt auf unseren, oder auch den der anderen Staatens Wohlstand, müssen wir nunmal auch unsere Sicherheit anpassen . Wenn bei uns erstmal Tausende sterben durch Terror, oder Strom und Gas ausfällt das ne Million Menschen frieren , dann seht ihr das auch anders . Erst recht wenn ihr irgendwie persönlich betroffen seit.
    Mutti Merkel passt halt auf ihre Kinder auf und ich finde das gut.
    So das ist meine Meinung und die musste ich jetzt mal vertreten . Ich bin stolz zu so einer Nation wie Deutschland zu gehören , hier bin ich sicher und ich hoffe das es auch meine Kinder und Enkel später sind . Wenn der preis dafür nur die Überwachung meiner Daten ist , was ich nichtmal mit bekomme und keiner zu 100% weiss ob es auch wirklich so ist, dann zahle ich ihn gerne . Ich möchte 100 Jahre alt werden und nie in terror oder Krieg leben .
    Unser System funktioniert . Guckt mal in den nahen Osten , Afrika , Südamerika. Die wären froh wenn ihre Sicherheit durch solch einfache Methoden garantiert wären .

    Eines noch zu apple +iOS und Samsung +android . Man kann es nicht mehr hören . Diese Geräte sind alle Hochklassik .
    Wer so ein Gerät besitzt , hat den Luxus in den Händen . Nicht nur bei Apple wie es immer gerne verkauft wird. Auch bei Samsung , Lg,Nokia ,Sony ……. . Alles der selbe sch… Und fast gleich funktional. Und nicht nur Samsung guckt ab , sondern auch Apple und das mit dem sich gegenseitig kopieren gibt es schon seit 500v.chr.
    Es ist gut das sie sich gegenseitig beklauen und verklagen, denn dadurch ist es gesichert in Zukunft immer bessere Produkte hu bekommen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.