Ein bislang unbekannter Hacker hat die Firma hinter der Spionagesoftware FinSpy gehackt und dabei über 40 GByte Daten heruntergeladen und ins Netz gestellt. Unter den veröffentlichten Dokumenten befinden sich auch die Release-Notes für die mobile Variante der Software, die einige interessante Rückschlüsse zulässt.
Die Server der Gamma Group zu hacken und den Quellcode einer Software-Lösung zu stehlen, die dazu gedacht ist, bestimmte Personen gezielt auszuspionieren, ist mehr als nur ein Bubenstreich. Dank eines unbekannten Hackers mit dem Pseudonym Phineas Fisher weiß die Allgemeinheit nun nicht nur mit Bestimmtheit, an welche Regimes die FInFisher genannte Spionagesoftware verkauft wurde, wie diese funktioniert und was sie kostet, sondern nun ist auch bekannt, für welche Betriebssystem es FinFisher gibt. Dazu gehören neben Windows, Mac OS X und Linux auch die mobilen Betriebssysteme Android, iOS, Symbian und Windows Mobile, aber nicht Windows Phone und auch keine aktuelle Version von Blackberry OS. Wer sich für die Hintergründe zu FinFisher interessiert, findet in den verlinkten zwei Quellen detaillierte Informationen.
Wir haben uns die geleakten Release Notes zur aktuellen Version 4.51 von FinSpyMobile 4.51 angeschaut und sind zum Schluss gekommen, dass diese Spionagesoftware nicht gefährlicher als alle anderen als "Malware" bezeichneten Apps ist und von den Funktionen her mit den Antimalware-Apps wie Lookout, Kaspersky oder AVG vergleichbar ist.
Zur Installation und zum Start sind manuelle Eingriffe ins Handy des Betroffenen notwendig. Die von Android gebotenen Schutzmechanismen zu umgehen, vermag FinFisher nicht. Einmal installiert weichen die Möglichkeiten stark von der benutzten Android-Version ab. Generell kann der Trojaner Anrufe mitscheiden, SMS/MMS abfangen, das Adressbuch (auch SIM-Kontakte) auslesen und als stilles Mikrofon arbeiten sowie die Standortdaten verschicken. Auch WhatsApp mitzulesen, gehört zu den Fähigkeiten von FinSpy Mobile. Unterstützt werden dabei sämtliche Android-Versionen von 2.x.x. bis 4.4.x, wobei Android 4.3 seltsamerweise in den Release Notes fehlt. Ein Blick in das Kapitel 4, das die Beschränkungen der aktuellen Software aufzeichnet, macht aber schnell klar, dass der in München entwickelte Trojaner je nach Android-Version so gefährlich gar nicht ist.
So muss der Nutzer die Spionage-App nach der Installation unter Android 3.x und 4.x zuerst einmal selbst starten, bevor diese aktiv wird. Unter Android 2.x war dazu lediglich eine ausgehende SMS oder ein ausgehender Anruf notwendig. Da der Trojaner vorwiegend über SMS-Nachrichten kommuniziert, macht ihm zudem ein neues Sicherheitsfeature von Android 4.4 zu schaffen, durch das sich ausgehende SMS nicht mehr einfach so löschen bzw. verstecken lassen. Das Spy Call Module und das Phone Call Interception Module, um Anrufe mitzuschneiden oder das Mikro stets einzuschalten, werden von der aktuellen Version der Software unter Android ebenfalls nicht unterstützt. Das einzige Special-Feature, das unter der aktuellen Android-Version 4.4 funktioniert, ist das Einschalten der Kamera, um unbemerkt Fotos zu schießen. Diese Funktion bieten aber auch Sicherheitslösungen von AVG oder Lookout an. Was übrig bleibt: Adressbuch klauen, Standortdaten per SMS verschicken und das ganze remote irgendwie irgendwohin schicken.
FinSpy Mobile kann nicht mehr als jede gute Android-Malware-Lösung
Im Prinzip ist FinSpy Mobile also lediglich eine gut gemachte Android-Malware-Lösung. Anstatt ein paar Hundertausend Euro auszugeben, um einem potentiellen Opfer die Software unterzujubeln, könnte man also auch einfach zum Beispiel AVG als APK-Datei nehmen, das Icon und den App-Namen anpassen und in einem geeigneten Moment diesen "Trojaner" auf dem Handy des Opfers installieren. Lediglich die Konfigurationsmöglichkeiten fallen weg, sodass man keinen Account einrichten muss. Schaltet man zum Beispiel in den Android-Einstellungen die Ortung aus, dann besitzt auch FinSpy Mobile keine Möglichkeit mehr, Standortdaten zu übermitteln (mal abgesehen von den unsichtbaren SMS-Nachrichten, die schon seit Jahren von der Polizei und anderen Diensten zur stillen Ortung benutzt werden).
Als Android-Nutzer muss man vor dem "Staatstrojaner" also keine Angst haben, wenn man keine Apps aus fremden Quellen installiert, auf keine App-Icons klickt, die man nicht kennt und ab und zu in die Liste der SMS schaut, ob sich dabei keine seltsamen Meldungen finden. Wer potentiell zu Paranoia neigt, klebt zudem die Frontkamera ab. Hilfreich ist es zudem immer, die großen, bekannten Software-Lösungen wie Skype oder WhatsApp zu meiden und kleinere unbekannte Apps zu nutzen. Das gilt auch auf dem Desktop: Thunderbird, Apple Mail und Outlook stehen auf der Liste von FInFisher, mit anderen Mailprogrammen kommt der Trojaner nicht klar.
Fazit
FinSpy mobile ist unter Android nicht wirklich gefährlich und aus professioneller Sicht bzw. im Vergleich zu den von der NSA im Rahmen von Prism eingesetzten Techniken quasi Kinderkram. Erschreckend ist vielmehr, dass eine solche Software in Deutschland (mit-) entwickelt und der Einsatz geduldet wird, während Open-Source-Anwendungen mit den rechtlichen Problemen von Dual-Use-Programmen zu kämpfen haben. Ganz oben auf der Liste der benutzen "Einschleusprogramme" steht übrigens das Flash-Player-Update bzw. eine als solches geteilte Anwendung. Ein Grund mehr, die Dinosauriersoftware "Flash-Player" endlich sterben zu lassen.
Quellen: Andy Martin auf Google+ und Netzpolitik.org