Um es gleich zu sagen: Skygofree hat nichts mit dem Sportsender Sky oder der App Sky Go zu tun. Falls Sie auf einer Website landen, die Skygofree anbietet, sollten sie diese schnell wieder verlassen. Gehen Sie nicht über Los und schließen Sie den Browser sofort. Sonst fangen sie sich noch eines der „bis dato mächtigsten Überwachungswerkzeuge für das Android-Betriebssystem“ ein.
So in etwa fasst das Sicherheitsunternehmen Kaspersky in seinem am Dienstag veröffentlichten Bericht Skygofree zusammen. Es hat die Spionagesoftware entdeckt, die bereits seit 2014 im Umlauf ist. Seitdem wurde sie stetig weiterentwickelt. 48 Funktionen konnten die Sicherheitsforscher in der Schadsoftware entdecken, die fünf Lücken im Android-System ausnutzt, um weitreichende Berechtigungen zu erhalten und somit Sicherheitsmechanismen des Betriebssystems umgehen kann.
Zugriff auf WhatsApp und WLAN
Hat Skygofree erst einmal Zugriff auf ein Android-Smartphone erhalten, können die Angreifer über die Software Bilder und Videos aufnehmen, Anrufe mitschneiden, SMS mitlesen und auf Kalendereinträge sowie Daten im Arbeitsspeicher des Geräts zugreifen.
Einige der Funktionen haben die Experten von Kaspersky in dieser Form noch nie in einer Schadsoftware gesehen: So enthält Skygofree auch die Möglichkeit, automatisch das Mikrofon anzuschalten, wenn das Smartphone sich an einem bestimmten Ort befindet (was die Angreifer über das GPS-Signal herausfinden können).
Außerdem kann sich das Gerät von selbst mit einem bestimmten WLAN verbinden und sogar Nachrichten von WhatsApp mitlesen: Möglich macht das in diesem Fall ein Dienst namens Android Accessibility Service, der eigentlich für körperlich eingeschränkte Nutzer gedacht ist. Skygofree nutzt ihn aus, um nach dem Öffnen von WhatsApp die Inhalte der einzelnen Chats auszulesen. Die mögliche Schwachstelle in diesem Dienst ist bereits seit Herbst bekannt.
In den frühesten entdeckten Versionen hatte Skygofree noch ausschließlich nach WhatsApp-Datenbanken auf Geräten gesucht. Doch im Laufe der Zeit sei die Software immer komplexer geworden und enthalte inzwischen sogar einige Komponenten für Windows ? möglicherweise ein Hinweis, dass die Entwickler auch eine Version für andere Betriebssysteme planen. Schon jetzt könne Skygofree „Ziele intensiv ausspionieren, ohne Verdacht zu erregen“, sagte Alexey Firsh von Kaspersky.
In Umlauf kam die Schadsoftware offenbar über gefälschte Websites. Diese erinnern auf den ersten Blick an offizielle Seiten von Mobilfunkanbietern wie Vodafone und versprechen Aktualisierungen für Smartphones. Wer dem zustimmt, installiert die Schadsoftware. Man kann sich also relativ leicht davor schützen, indem man solchen Aufforderungen prinzipiell nicht nachgeht ? offizielle Android-Updates werden nie im Browser, sondern ausschließlich in der Systemsteuerung angeboten.
Hinweise auf italienische Entwickler
Wer genau dahinter steckt, ist weiterhin unklar, doch über die gefälschten Websites ? von denen eine auch Skygofree im Namen hatte, weshalb Kaspersky die Schadsoftware so taufte ? bekamen die Sicherheitsforscher Hinweise, die nach Italien führen. Diese Websites waren italienisch und auch die jüngsten Infektionen kamen vor allem von dort. Die Sicherheitsforscher haben ein italienisches Unternehmen unter Verdacht, das auch staatliche Überwachungssoftware, spricht Staatstrojaner entwickelt.
In der Vergangenheit gab es immer wieder italienische Firmen, die sich auf die Entwicklung von Spionagesoftware spezialisiert hatten. Eines davon war Hacking Team, das seine Produkte auch an autokratische Regime verkaufte und deshalb in der Kritik stand. Im Jahr 2015, als Hacking Team selbst gehackt wurde und Informationen über ihre Produkte und mutmaßlichen Kunden veröffentlicht wurden, sei auch Skygofree am meisten verbreitet gewesen. Es wird vermutet, dass nach dem Ende von Hacking Team andere italienische Firmen die Arbeit fortgeführt haben.
Die Komplexität der Schadsoftware Skygofree und ihr Fokus auf dem Mitschneiden von Chatdiensten und Gesprächen deutet darauf hin, dass es sich nicht um eine Schadsoftware handelt, die im großen Stil verbreitet werden soll. Vielmehr scheint es, als sei sie für den Einsatz gegen einzelne Verdächtige konzipiert worden, was der Idee eines Staatstrojaners entspräche.