Recherchen einer auf den Schutz der Privatsphäre spezialisierten NGO lüften den Schleier vor einer rein italienischen Malware, die Android-Nutzer ausspionieren und abhören soll
Ein Android-Virus made in Italy ist im Play Store unterwegs: Er heißt Exodus und ist in rund 20 infizierten Apps enthalten, die bereits von Tausenden Menschen heruntergeladen und genutzt wurden. Es soll von dem in Catanzaro ansässigen Unternehmen eSurf hergestellt worden sein, das auf Überwachungssysteme spezialisiert ist und in der Vergangenheit Verträge mit italienischen Strafverfolgungsbehörden abgeschlossen hat.
Das geht aus einem Bericht der Nichtregierungsorganisation Security Without Borders hervor, die sich auf Cyberangriffe und den Schutz der Privatsphäre von Aktivisten für Menschenrechte, politische und soziale Rechte spezialisiert hat und mit der Zeitschrift Motherboard zusammenarbeitet.
Was Exodus macht, die Malware, die Italiener abhört
Der ausführliche Bericht der NGO zeigt, dass der Hauptzweck der Exodus-Malware darin besteht, Informationen über den Benutzer des infizierten Smartphones zu sammeln. Der bösartige Code kann in der Tat von allem etwas abbekommen: Liste der installierten Anwendungen, Umgebungsgeräusche, die mit dem Mikrofon des Telefons aufgezeichnet wurden, Browserverlauf und Lesezeichen von Chrome und SBrowser (dem Browser auf Samsung-Telefonen), Kalenderereignisse, Anrufprotokolle, Aufzeichnung von Telefongesprächen, Aufnahme von Fotos mit der Kamera, Informationen über Telefonzellen, Auszug aus dem Adressbuch, die Liste der Facebook-Kontakte, Protokolle von Messenger-Gesprächen, Sie können Screenshots von jeder beliebigen Anwendung erstellen, Bildinformationen aus der Galerie extrahieren, Informationen aus Gmail, Kontakte und Nachrichten aus der Skype-App extrahieren, alle SMS-Nachrichten und Nachrichten sowie den Verschlüsselungsschlüssel von Telegram, Viber Messenger-Daten und Protokolle von WhatsApp wiederherstellen, aber auch mit WhatsApp ausgetauschte Dateien, das Passwort des Wi-Fi-Netzwerks, mit dem Sie verbunden sind, WeChat-Daten und sogar die GPS-Koordinaten Ihres Telefons.
Welche Apps sind mit Exodus infiziert
Die Exodus-Malware wurde in mindestens zwanzig Apps eingeimpft, die alle italienisch sind und regelmäßig in den Play Store hochgeladen werden, und deren Filter keine Bedrohung für den Nutzer festgestellt haben. Nach einer ersten Erkundung durch Bufale.net sind diese zehn Apps definitiv infiziert: Line Assistance, Special Offers, Personalized Phone Offers, Premium Phone Services, Offers for You, Reactivate Line Assistance, Operator Italy, Promo Offers, SIM Assistance und Phone Offers for You. Der Virus ist seit mindestens 2016 im Umlauf. Es ist also möglich, dass es noch weitere infizierte Apps gibt, die erst noch entdeckt werden müssen. Google hat Berichten zufolge bereits alle infizierten Apps aus seinem Store entfernt.
Wie der Exodus-Virus funktioniert
Die Exodus-Infektion beginnt mit dem Herunterladen und Installieren einer der infizierten Apps. Der Virus besteht aus zwei Stufen, die "Exodus 1" und "Exodus 2" genannt werden. Die erste Stufe hat die Aufgabe, den IMEI-Code des Mobiltelefons auszulesen und ihn an den Command & Control-Server zu übermitteln. Dieses Verhalten lässt vermuten, dass es sich um eine Malware handelt, die darauf programmiert ist, eine bestimmte Anzahl von Nutzern auszuspionieren, ein Szenario, das mit einer polizeilichen Überwachung vereinbar ist.
In Wirklichkeit hat Security Without Borders jedoch herausgefunden, dass Exodus auch dann aktiviert wird, wenn die gesendete IMEI die eines neuen Einweg-Handys ist, das nur zu Testzwecken aktiviert wurde, indem das zweite Exodus 2-Paket heruntergeladen wird, das den eigentlichen Virus enthält, der unser Verhalten zu verfolgen beginnt. Zu den schwerwiegenden Risiken, die Exodus birgt, gehört die Tatsache, dass es - entweder absichtlich oder durch falsche Programmierung - mehrere Ports offen lässt und das Smartphone für jeden angreifbar macht, der mit demselben Wi-Fi-Netz und (vielleicht) sogar mit derselben Mobilfunkzelle verbunden ist.
Warum betrifft Exodus auch normale Nutzer?
In den letzten Stunden ist eine hitzige Debatte über diesen Virus entbrannt: Wenn alle Anzeichen darauf hindeuten, dass es sich um einen Virus handelt, der entwickelt wurde, um tiefgreifende Lauschangriffe auf die Umwelt durchzuführen, warum wurde er dann in Apps eingeschleust, die von jedermann frei aus dem offiziellen Google Store heruntergeladen werden können? Die am weitesten verbreitete Hypothese ist auch die am wenigsten beruhigende: Die Software wurde in den Play Store gestellt, damit sie getestet werden kann, bevor sie in offiziellen Untersuchungen eingesetzt wird. In den letzten Stunden hat sich der Datenschutzbeauftragte Antonello Soro wie folgt geäußert: "Die Nachricht von der Abhörung hunderter Bürger, die nichts mit den Ermittlungen der Justiz zu tun haben, aufgrund eines bloßen Fehlers bei der Bedienung eines zu Ermittlungszwecken genutzten Abhörcomputers ist sehr besorgniserregend und wird Gegenstand einer angemessenen Untersuchung sein, die auch vom Datenschutzbeauftragten im Rahmen seiner Zuständigkeit durchgeführt wird.
Wie Sie sich vor dem Exodus-Virus schützen können
Wenn Sie in der Vergangenheit eine der infizierten Apps heruntergeladen haben, ist es fast sicher, dass Ihr Smartphone infiziert ist und dass Exodus eine große Menge an Daten über Sie sammelt. Um den Virus zu entfernen, müssen Sie ein gutes Antivirenprogramm verwenden, das auf dem neuesten Stand ist. Das Problem ist jedoch, dass die Existenz dieser Malware erst vor kurzem bekannt wurde, so dass es nicht sicher ist, dass die gängigste Antivirensoftware in der Lage sein wird, Exodus zu erkennen.