Moderne mobile Forensik für Strafverfolgungsbehörden – Teil 6

(Letzter Teil des Beitrages „Moderne mobile Forensik für Strafverfolgungsbehörden“ von Herrn Marko Rogge:)

 

Trojaner, Spyware und mehr: Malware identifizieren und analysieren

Trojaner oder Malware für Mobiltelefone gibt es schon viele Jahre – beispielsweise gab es bereits in den 90er Jahren viele Schädlinge für das Betriebssystem Symbian, das von Nokia entwickelt wurde. Diese dienten meist dazu, kostspielige Kurzmitteilungen an Mehrwertdienste zu versenden oder auch das Mikrofon als Wanze zu nutzen. Nun erscheinen allerdings zunehmend Meldungen von Trojanern für iPhones oder Android-Smartphones in den einschlägigen Medien, die gezielt Daten ausspionieren oder die zum Zwecke der Wirtschaftsspionage verbreitet werden.

Das Entdecken solcher Schädlinge ist immer noch den großen Anti-Viren-Herstellern vorbehalten. Herkömmliche Spyware wird dabei von den meisten Anti-Viren-Herstellern erkannt und kann relativ leicht entfernt werden. Voraussetzung hierfür ist allerdings, dass der Anwender eine Anti-Viren-Schutz-Software auf seinem Smartphone installiert hat und diese aktuell ist. Obwohl für alle bekannten Systeme von mobilen Endgeräten bereits Malware bekannt wurde, hat etwa der Hersteller Apple (Stand Mai 2015) Anti-Viren-Produkte aus seinem Store entfernen lassen. Man war der Meinung, dass es für das Apple-System, z.B. für iPhones keinen Sinn macht, die Programme anzubieten, da diese in einer Sandbox laufen und nicht nach Viren scannen können. Dass Schädlinge für iOS jedoch durchaus existieren, wurde zu Beginn 2015 aus China vermeldet, wo tausende Geräte infiziert wurden.

Malware gefunden
Malware gefunden

Es ist im übrigen gerade im Bereich der Forensik nicht ausreichend, sich bei der Entdeckung und dem Schutz vor Malware auf einen Anti-Viren-Hersteller zu verlassen. Dies wird beispielsweise relevant, wenn eine fremde Person unter Verwendung eines Trojaners über das eigene Smartphone eine Straftat begangen hat und die eigene Unschuld bewiesen werden soll. Oftmals werden Trojaner oder Spyware auch benutzt, um z.B. den Ehe-Partner auszuspionieren, was natürlich eine strafbare Handlung darstellt. Um derartige Spionageversuche nachzuweisen, helfen Methoden der mobilen Forensik.

Wurde bspw. ein Smartphone-Nutzer ausspioniert, so ist häufig eine Manipulation am Gerät selbst vorausgegangen. Es gibt natürlich auch weitere Anzeichen dafür, dass ein Smartphone mit einer Spyware infiziert ist, aber diese entdecken oder erkennen Anwender in den seltensten Fällen. So verringert sich etwa die Akku-Laufzeit durch die Aktivitäten einer Spyware deutlich, vor allem dann, wenn auch noch Standorte des überwachten Smartphones via GPS heimlich übermittelt werden. Benutzt allerdings eine ausspionierte Person sein Smartphone auch als Navigationsgerät, so wird das wiederum kaum ins Gewicht fallen.

Je professioneller Spyware oder allgemein Malware programmiert ist, umso mehr muss man davon ausgehen, dass es sich um einen gezielten Angriff handelt – zum Beispiel mit dem Ziel der Wirtschaftsspionage. Spuren lassen sich mittels forensischer Methoden fast immer finden und somit kann ein Straftäter überführt oder zumindest eine Manipulation nachgewiesen werden. Gerade mittelständische Unternehmer sind oftmals von Angriffen dieser Art betroffen, wie aus Berichten des BSI hervorgeht bzw. wie es auch Erfahrungen aus Ereignisfällen der Firma Conturn AIG GmbH deutlich zeigen.

 

Beispiel MSpy – Bewegungsprofil einer ausspionierten Person
Beispiel MSpy – Bewegungsprofil einer ausspionierten Person

 

Doch wie sieht es aus, wenn sich z.B. ein Trojaner oder eine Spyware so updaten kann, dass diese mittels der herkömmlichen „Detection-Methoden“ nicht mehr erkannt werden kann, weil die Signaturen geändert wurden? Oftmals haben solche Trojaner oder andere Spyware feste IP-Adressen gespeichert, zu denen sie eine Verbindung aufnehmen. Man könnte nun, wie es auch manche Anti-Viren-Hersteller in ihren Lösungen implementiert haben, gezielt nach IP-Adressen suchen. Sind diese jedoch so codiert, dass sie nicht im Klartext lesbar sind, bleibt auch diese Möglichkeit erfolglos. Hilfreich kann jedoch das Aufzeichnen und die anschließende Analyse des Datenverkehrs über WLAN- und GSM-Netze sein, um zu erkennen, wohin ein Smartphone entsorechende Daten sendet oder Befehle empfängt.

Analyse des Datenverkehrs
Analyse des Datenverkehrs

Der Fachbereich der mobilen Forensik ist noch relativ jung. Er wächst und verändert sich stetig, wie auch die Technik der mobilen Endgeräte. Diverse Hersteller von forensischer Software für mobile Endgeräte sind am Markt zwar vorhanden, es gelingt jedoch nur wenigen, eine universell einsetzbare und vollumfängliche Lösung für Ermittler anzubieten. Es ist jedoch davon auszugehen, dass noch eine Menge Innovationen von den Herstellern anstehen, um Ermittler bei der Aufklärung von Straftaten zu unterstützen.

 

(Der vollständige Artikel von Herrn Marko Rogge ist in der Printausgabe von „Der Kriminalist“ Ausgabe 06/2015 ab Seite 29 erschienen. Seine hier vorliegende Blogbeitragserie wurde mit freundlicher Genehmigung des Verlags von Herrn Rogge für unseren Blog aufbereitet.)

Informationen zum Autor finden sich unter Teil 1 des Beitrages von Herrn Rogge.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA
Change the CAPTCHA codeSpeak the CAPTCHA code