Der Mutter aller Spyware - Remote Control System (RCS)

[Chocoball]

Vergiss Oldboot, vergiss UUplay, hier ist der Mutter aller Spionagesoftware: Remote Control System (RCS).

RCS ist entwickelt als "legalen" Spyware für Polizie und Regierungen. Es funktioniert auf iOS, Android, Windows Phone und BlackBerry. Es kann Daten sammeln, Smartphonebenutzer folgen, Tonaufnahmen machen und den Kamera übernehmen. RCS war schon in 2013 entdeckt aber seitdem hat sich vieles geändert.

Eine Liste für iOS (wenn es Jailbreak drauf hat) zeigt was so allem mit RCS möglich ist (leider Englisch):

• Control of Wi-Fi, GPS, GPRS
• Recording voice
• E-mail, SMS, MMS
• Listing files
• Cookies
• Visited URLs
• Cached web pages
• Address book
• Call history
• Notes
• Calendar
• Clipboard
• List of apps
• SIM change
• Live microphone
• Camera shots
• Support chats, WhatsApp, Skype, Viber
• Log keystrokes from all apps and screens via libinjection.

Die Daten werden nach mehr als 350 Server in 40 Ländern gesendet. Die meisten Server stehen in den USA, Kasachstan, Ecuador, Großbritannien, Kanada und China.

Sieht so aus der Smartphone ist wirklich das neue Spionagegerät für Polizei und Regierungen.

Mehr info hier: http://www.securelist.com/en/blog/8231/HackingTeam_2_0_The_Story_Goes_Mobile.

 

[thor2001]

http://www.heise.de/security/meldung/Staats-Trojaner-fuer-Smartphones-entdeckt-2237610.html

 

[N2k1]

The Android module is protected by the DexGuard optimizer/obfuscator and is therefore extremely difficult to analyze. However, we discovered (see the trace below) that the sample has all the functionality of the iOS module listed above – plus support for hijacking information from the following applications:

• com.tencent.mm
• com.google.android.gm
• android.calendar
• com.facebook
• jp.naver.line.android
• com.google.android.talk

Die Quelltexte der Programme sind doch offen - wozu also die Sachen decompilieren und den unkommentierten Quelltext lesen?[DOUBLEPOST=1403650381,1403649614][/DOUBLEPOST]Zum Heise-Artikel.. Sie verweisen auf das kanadische Team, welches die Android-Sachen annalysiert haben.. mh.. und die werden per iTunes verteilt?!

This functionality allows RILCAP to act as the su binary would — only there is no supervisor application to notify the user of privilege escalation and offer the choice to allow or deny it.

Und genau deshalb loggt chainfire auch System-Apps, die Root-Zugriff anfordern.

Tja, und warum ein APN geändert wird, wenn der Provider nicht mitspielt, ist mir auch nicht ganz klar.
Sofern der Provider jedoch mitspielt, bedarf es dieses Aufwands nicht.
Sehr undurchsichtig, die ganze Aktion.
Aber interessant wird es ohnehin erst, wenn GData das untersucht - Kaspersky ist ja keine vertrauenswürdige Quelle ;-)