FlexiSpy [getarnt als MBackup]

Die FlexiSpy Software, die es bisher für's iPhone, Windows Mobile, Symbian und BlackBerry gab, wird nun auch für Android Smartphones angeboten. Es handelt sich dabei um eine Spionagesoftware, die die Aktivitäten des Handybesitzers überwacht und weiterleitet.

Zur Zeit kann die Software nicht von remote, sondern nur lokal installiert werden. Einmal installiert, kann sie mit unsichtbaren SMS gesteuert werden.

Die Software tarnt sich als Backup Software (MBackup) und lässt sich gemäss einem Artikel des Magazins c't [c't 2010-18 - Report: PC-Spionage] nicht so einfach deinstallieren.

Die Software ist gegen eine jährliche Gebühr von USD 350.- erhältlich, was einer schnellen Verbreitung entgegenwirken sollte.

Wenn also jemand von euch auf seinem privaten oder geschäftlichen Handy die MBackup Software installiert haben sollte, so hat offensichtlich jemand ein grosses Interesse an euren Aktivitäten.

abgetippter Auszug aus dem Artikel:

Immer-dabei-Wanzen

Handy-Spionageprogramme sind mit unterschiedlichen Funktionsumfängen gegen jährliche Gebühren von bis zu 350 US-Dollar für alle gängigen Handy-Betriebssysteme erhältlich und binnen weniger Minuten auf dem jeweiligen Zielgerät aufgespielt. Die Installation gelingt ausschliesslich lokal; Fälle der theoretisch möglichen Infektion per Funk sind uns nicht bekannt. Einmal installiert, lässt sich die Spionagesoftware, wenn man das überwachte Handy gerade selbst in der Hand hält, nach Eingabe einer persönlichen Geheimzahl konfigurieren. Der typischere Kanal, über den ein Spitzel die Wanze ein- und ausschaltet, führt jedoch über eine nicht angezeigte Kontroll-SMS von einer vorkonfigurierten Absendernummer. Läuft der Lauscher Gefahr, dass sein Tun auffliegt, lässt sich die komplette Spionagesoftware mit einer weiteren SMS deinstallieren.

Ob das eigene Handy einen Nebenjob als Wanze ausübt, lässt sich weder mit einem Blick auf die Liste der installierten Programme noch über die Anzeige aktiver Prozesse sicher feststellen. Etwa die FlexiSpy-Software für Android-Handys ist dank Autostart- und Respawn-Funktion immer aktiv und lässt sich allenfalls durch den Lizenznehmer vorübergehend stilllegen. Nur, wenn dieser seit dem letzten Handy-Start lokal auf die Spyware zugegriffen hat, ist speziell die Android-Variante in der Liste der zuletzt aufgerufenen Programme sichtbar. Das Programm taucht unter dem irreführenden Namen "MBackup" in der Liste installierter Anwendungen auf, und dabei enthüllt die genauere Betrachtung einen verdächtigen Satz von Systemrechten, die sich dieses vorgebliche Backup Programm herausnimmt - etwa, Anrufe abzufangen oder gar von sich aus einzuleiten oder den aktuellen Standort zu ermitteln.

Erst wenn man die Umgebung von Androids Java-Maschine verlässt und etwa mit einem nachgeladenen Terminalprogramm eine Unix-Shell zum Handy-Kernel aufmacht, bekommt man den laufenden FlexiSpy-Prozess im Proc-Dateisystem des Handys zu sehen. Allerdings verweigert das System die meisten Anfragen nach Detailinformationen zu diesem Prozess mit dem Hinweis auf unzureichende Berechtigungen. In dieser Hinsicht kommt man bei Android allenfalls mit den Debugging Tools und einem per USB angeschlossenen PC weiter.

Verdächtig ist immerhin, dass sich Handys unter einigen Betriebssystemen offenbar nicht mehr komplett ausschalten lassen. In einem Fall erregte die Verbreitung einer Handy-Spionageanwendung sogar öffentlichen Verdacht, indem sie schlagartig die Akkulaufzeiten der befallenen Handys reduzierte.

Einige Virenscanner für Handys scheinen FlexiSpy unter Umständen zu erkennen, so zum Beispiel das Programm F-Secure Mobile Security. Der Spyware-Hersteller hat deshalb für seine Kunden eine Prä-Installationsanleitung zum Entfernen der "Malware F-Secure" verfasst, die "kein Recht hat, sich in die Auswahl von Software einzumischen". Allerdings sind Handy-Virenscanner generell wenig verbreitet, und wir haben auch keine Anhaltspunkte, wie zuverlässig sie die Spyware auf den zahlreichen, grundverschiedenen Handy-Plattformen erkennen.

Wer befürchtet, sein Handy jobbe nebenbei als informeller Mitarbeiter, sollte einen akribischen Blick auf seine Telefonrechnungen werfen - in diesem Szenario muss die Überwachungssoftware nämlich jedes Mal, wenn sie ein Telefonat weiterleitet, eine bestimmte Nummer anrufen. Wenn sich der Verdacht bestätigt, fällt technischer Rat schwer. Selbst die Brachialmethode, das Handy unter weitgehendem Datenverlust auf den Fabrikzustand zurückzusetzen, könnte ausgerechnet die unerwünschte Spyware vom eisernen Besen verschonen, wenn sich diese auf einer wechselbaren SD-Karte eingenistet hat. Immerhin dürfte man auf diese Art und Weise den Autostart des Programms unterbinden. Auch auf eine andere Sim-Karte umzusteigen, verspricht keinen Erfolg. Im Gegenteil: FlexiSpy informiert seinen Auftraggeber über die neue Lage, sodass er nicht nur für künftige SMS-Kommandos am Ball bleibt, sondern jetzt auch erahnen kann, dass sein Opfer Verdacht geschöpft hat.

Zu den Möglichkeiten, die Software zu entfernen, heisst es weiter:

Verteidigungsnotstand

Handys können mit der passenden Software viel mehr Geheimnisse erschnüffeln als ein PC. Sie bieten zwar weniger dunkle Ecken, in denen sich lichtscheue Software verstecken kann, doch andererseits gibt es für diese Plattformen auch viel weniger Hilfsmittel, um sie sauber zu halten.

Anders als auf einem PC gibt es bei Handys wenig Sicherheit, dass man eine entdeckte Spyware mit irgendwelchen Massnahmen wirklich wirksam entfernen kann. Schlimmer noch: Oft ist eine solche Desinfektion nur im privaten Umfeld sinnvoll. Wer dagegen eine Wanze im Diensthandy oder auf dem Arbeitsplatzrechner entdeckt, muss genau prüfen, ob er mit deren Beseitigung nicht am Ende gegen die Vorschriften seines Arbeitgebers verstösst.

Im Artikel hat es noch viele weitere Informationen, insbesondere, wie man seinen PC gegen Spionageprogramme schützt. Das c't 2010-18 ist ab nächsten Montag am Kiosk erhältlich.