Lookout Security Research Report: Monokle – Mobile Überwachungssoftware von Special Technology Center

Lookout

Die Sicherheitsforscher von Lookout haben eine äußerst zielgerichtete mobile Malware entdeckt. Sie nutzt ein neues, anspruchsvolles und individuell angepasstes Toolset einer Android-Überwachungssoftware namens Monokle. Die Schadsoftware steht möglicherweise in Zusammenhang mit russischen Akteuren.

Die Forschungsergebnisse von Lookout deuten darauf hin, dass die betreffenden Tools Bestandteile einer Serie von zielgerichteten Kampagnen sind, entwickelt von dem in St. Petersburg, Russland, ansässigen Unternehmen Special Technology Centre, Ltd. (auch unter den Kürzeln STC, Ltd. oder STC bekannt).

Ende 2016 wurde vom damaligen Präsidenten der USA, Barack Obama, ein Zusatz zur Executive Order 13964 erlassen. Hierin werden gegen STC als einem von insgesamt drei Unternehmen Sanktionen verhängt. Der Vorwurf:  Die Unternehmen sollen vorgeblich dem Main Intelligence Directorate (GRU) Material zur Verfügung gestellt haben um die US-Präsidentschaftswahlen 2016 zu stören. STC ist ein privater Vertragsnehmer in der Verteidigungsindustrie und vor allem bekannt für die Produktion unbemannter Luftfahrzeuge, sogenannter Unmanned Aerial Vehicles

(UAVs), und als Lieferant von Hochfrequenztechnologie (Radio Frequency (RF) –Ausrüstung für das russische Militär und andere Regierungen. STC ist seit dem Jahr 2000 von St. Petersburg aus tätig und hat geschätzte 1.500 Mitarbeiter.

Die von STC entwickelte Schadsoftware Monokle ist eine fortschrittliche mobile Überwachungssoftware, die gespeicherte, persönliche Daten von einem infizierten Gerät stiehlt und in eine Command-an-Control-Infrastruktur abzieht. Zwar sind die meisten Funktionsmerkmale typisch für eine mobile Überwachungssoftware. Einzigartig ist Monokle allerdings darin, bereits existierende Methoden neuartig zu verwenden. Dadurch ist die Malware ganz besonders effektiv bei der Daten Exfiltration selbst ohne Root-Zugriff.

Unter anderem bedient sich Monokle extensiv bei den zugangserleichternden Android-Diensten wenn darum geht Daten aus Drittanwendungen zu stehlen. Integrierte Wörterbücher helfen dabei, Themen und Inhalte zu identifizieren, die für die Angreifer von Interesse sein könnten.

Monokle versucht zusätzlich die Display-Anzeige bei entsperrten Bildschirmen aufzuzeichnen um PIN, Passwörter oder bestimmte Muster, die der Benutzer verwendet, zu kompromittieren.

Monokle taucht nur in einer sehr begrenzten Zahl von Anwendungen auf. Das legt den Verdacht nahe, dass die Malware nur bei besonders zielgerichteten Angriffen eingesetzt wird.

Viele dieser Anwendungen sind von Trojanern befallen, enthalten aber gleichzeitig legitime Funktionsmerkmale, so dass der Benutzer möglichst wenig Verdacht schöpft. Die von Lookout im Rahmen der vorliegenden Untersuchung erhobenen Daten weisen darauf hin, dass diese Tools auch weiterhin aktiv verbreitet werden. Lookout ist in der Lage eine Verbindung zwischen Monokle und dem Unternehmen STC herzustellen, weil es Verbindungen zu einer gemeinsamen Infrastruktur mit Android-Sicherheitsapplikationen gibt. STC hat solche Sicherheitsanwendungen, einschließlich einer Antivirenlösung, entwickelt, die mit Monokle die Infrastruktur gemeinsam haben. Das nur eine der Verbindungen zwischen STC und Monokle, die im vorliegenden Bericht näher erläutert werden. Laut Angaben eines Entwicklers von STC seien diese Applikationen im Auftrag eines „Regierungskunden“ entwickelt worden.

Der komplette Report listet über 80 Indicators of Compromise (IOCs) auf, die es Cybersicherheitslösungen erlauben ihre Kunden vor der Bedrohung zu schützen (wie es die Kunden von Lookout selbst seit Anfang des Jahres 2018 bereits sind).

Die wichtigsten Ergebnisse auf einen Blick:

Lookout hat eine neue mobile Überwachungssoftware namens Monokle entdeckt

● Monokle ist eine ausgereifte mobile Surveillanceware, die über RAT (Remote Access Trojan) –Funktionalitäten und fortschrittliche Techniken zur Exfiltration von Daten verfügt sowie über die Fähigkeit vertrauenswürdige Zertifikate um von den Angreifern installierte (gefälschte) Zertifikate zu ergänzen. Diese gestatten dem Angreifer Man-in-the-Middle(MITM)-Attacken.

● Lookout beobachtet Varianten der Schadsoftware bereits seit Juni 2015 in freier Wildbahn. Laut den von Lookout-Sensoren gelieferten Daten bleiben die Aktivitäten auf niedrigem Niveau konstant mit einem Anstieg in der ersten Hälfte des Jahres 2018.

● Monokle bedient sich beim Abziehen der Daten extensiv bei den Android-eigenen zugangserleichternden Diensten von Drittanbietern indem die Malware den Displaytext eines infizierten Gerätes jederzeit mitlesen kann.

● Nachweislich wird inzwischen auch eine iOS-Version von Monokle entwickelt. Lookout hat aber derzeit noch keine aktive Infektion beobachtet.

● Monokle hat sich vermutlich gegen Personen in den Kaukasusregionen gerichtet sowie gegen solche, die sich für die Aktivitäten von Ahrar al-Sham interessiert haben. Ahrar al-Sham sind eine islamistisch-salafistische bewaffnete Miliz, die seit Oktober 2011 im Bürgerkrieg in Syrien gegen die syrische Armee kämpft.

Special Technology Center (STC) ist ein Vertragsnehmer der russischen Regierung, der wegen unterstellter Störung der US-Präsidentschaftswahlen im Jahr 2016 von der damaligen US-Regierung sanktioniert wurde

● STC ist bekannt als Hersteller von unbemannten Luftfahrzeugen (Unmanned Aerial Vehicles (UAVs) und von Hochfrequenztechnologe (Radio Frequency (RF).

● Gegen STC wurden seitens der US-Regierung Sanktionen verhängt. Das ist Gegenstand einer Ergänzung zu Executive Order 13964. STC habe angeblich dem Main Intelligence Directorate

(GRU) Material zur Verfügung gestellt und diesen zudem bei der Durchführung von Operationen zur Signalaufklärung unterstützt.

STC entwickelt sowohl offensive als auch defensive Android-basierte Sicherheitssoftware

● Die Sicherheitsforscher von Lookout haben bereits zuvor bisher unbekannte mobile Software und Software mit Funktionsmerkmalen einer Überwachungssoftware beobachtet, die sich auf STC zurückführen lassen. Die Beobachtungen legen nahe, dass STC sowohl offensiv wie auch defensiv arbeitende mobile Tools entwickelt.

● Die Antivirenlösung für Android trägt den Namen Defender, die Surveillanceware heißt Monokle. Durch die zwischen den beiden Softwarelösungen bestehenden Verbindungen zieht Lookout den Schluss, dass es sich beim Urheber von Monokle um STC handeln muss.

● Lookout hat zudem sehr enge Verbindungen zwischen den Android-Softwareentwicklungen von STC und den IOCs von Monokle gefunden.

● Lookout hat eine gemeinsame Command & Control-Infrastruktur nachweisen können. Sie wird sowohl von legitimen STC Android-Apps als auch von der Schadsoftware des Unternehmens genutzt.

● Laut Angaben eines STC-Entwicklers seien sowohl die offensive wie die defensive Variante auf Anfrage eines „Regierungskunden“ hin entwickelt worden.

● Laut Angaben von Lookout wird die Malware weiterhin aktiv verbreitet.

Lookout veröffentlicht mehr als 80 Indicators of Comprise (IOC):

● 57 SHA-128 Hashes und 1 YARA-Regel für Malware-IOCs unter Android

● 22 Domänen und IP-Adressen

● Vier russische Mobilfunknummern, die von den Angreifern benutzt wurden um mit Monokle infizierte Geräte zu überwachen




Nachricht an die Redaktion

Hier können Sie uns einen Kommentar zu dem Artikel zukommen lassen.
Wir freuen uns auf Ihr Feedback.

[honeypot additional-name-406]]

Bei unseren Lesern momentan beliebt