HighRise: CIA-Malware für Android fängt SMS-Nachrichten ab

Wikileaks hat ein weiteres Dokument aus der als Vault 7 bezeichneten Sammlung von angeblichen Geheimunterlagen des US-Geheimdiensts Central Intelligence Agency veröffentlicht. Dabei handelt es sich um ein Handbuch für eine HighRise genannte Schadsoftware für Googles Mobilbetriebssystem Android. Sie ist demnach in der Lage, SMS-Nachrichten umzuleiten und abzufangen.

Das SMS-Tool HighRise der CIA versteckt sich im App Drawer unter dem Namen Tide Check. Es ist durch ein voreingestelltes Passwort geschützt (Bild: Wikileaks).

Die im Dezember 2013 veröffentlichte Anleitung bezieht sich explizit auf die OS-Versionen 4.0 Ice Cream Sandwich und 4.1 bis 4.3 Jelly Bean, die zwischen Oktober 2011 und Oktober 2013 veröffentlicht wurden. Sie kommen Google zufolge aktuell noch auf einen Marktanteil von 8,8 Prozent. Das Handbuch weist zudem darauf hin, dass HighRise 2.0 eine Portierung für Android 4.0 bis 4.3 ist – offenbar gab es also auch eine Version HighRise 1.x für frühere Android-Releases.

Die Portierung wurde demnach aufgrund einer neuen Sicherheitsfunktion von Android notwendig. In früheren OS-Versionen sei es möglich gewesen, Apps sofort nach deren Installation für einen automatischen Start mit dem Betriebssystem zu registrieren. Seit Android 4.0 müsse eine App zuerst einmal manuell gestartet werden, bevor die Autostartfunktion eingerichtet werden könne. „Als Folge erscheint die HighRise-Anwendung nun in der Liste der installierten Apps, damit sie von einem HighRise-Operator gestartet werden kann“, heißt es in dem Dokument. Das deutet darauf hin, dass die CIA HighRise auf bereits kompromittierten Geräten eingesetzt hat.

Die CIA beschreibt HighRise als einen SMS-Proxy, der eingehende Nachrichten an einen „Listening Point“ im Internet weiterleitet und ausgehende Nachrichten, die von der CIA stammen, über den HighRise-Host auf dem kompromittierten Android-Gerät verschickt. Darüber hinaus soll die App auch der Kommunikation zwischen dem „HighRise Field Operator“ und dem Listening Point, also der Abhöreinrichtung der CIA dienen. Zudem kann HighRise jegliche Internetkommunikation per TLS/SSL verschlüsseln.

Der Anleitung zufolge wurde HighRise manuell auf zu überwachenden Android-Geräten installiert. Beim ersten Start der App, der ebenfalls manuell ausgeführt werden muss, musste ein CIA-Mitarbeiter das voreingestellte Passwort „inshallah“ eingeben und über den Button „Initialize“ die App einrichten. Dadurch wurde ein Autostart-Eintrag erzeugt und die App in den Hintergrund versetzt. In den Einstellungen der App konnte zudem eine URL für den Listening Point und auch eine Abhörintervall in Minuten festgelegt werden.

Wikileaks betont, dass HighRise auch zusammen mit anderen Überwachungstools der CIA eingesetzt wurde. Zur Art dieser Werkzeuge machte Wikileaks jedoch keine Angaben. Ob der Enthüllungsplattform noch weitere Geheimunterlagen mit Details zu derartigen Tools vorliegen, ist nicht bekannt.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

3 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

3 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

3 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

3 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

3 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

3 Tagen ago