Mutmaßlicher Entwickler der Android-Malware Dendroid war Mitarbeiter von FireEye

Mit der weltweiten Operation Shrouded Horizon haben das FBI und Europol das Cybercrime-Forum Darkode geschlossen und 28 Personen festgenommen. Ermittlungsbehörden in 20 Ländern beteiligten sich an der Aktion, darunter in Australien, Kanada, Kolumbien, Nigeria, Zypern, Schweden und Deutschland. In den USA wurden 12 Beteiligte angeklagt, darunter der 27-jährige Forumsgründer Daniel Placek und der 20-jährige Student Morgan Culbertson, der als Praktikant bei der Sicherheitsfirma FireEye tätig war – und offenbar gleichzeitig die gefährliche Android-Malware Dendroid über Darkode in Umlauf brachte.

FireEye gehört zu den führenden Cybersecurity-Anbietern in den USA. Es erhielt Finanzmittel von Goldman Sachs, Sequoia Capital und In-Q-Tel, dem Investitionsarm der CIA. Firmen wie etwa Sony Pictures wandten sich an das Unternehmen, um schwerwiegende Cyberangriffe zu bewältigen. In seinem LinkedIn-Profil bezeichnet sich Culbertson als Android-Entwickler, der am Carnegie Institute of Technology studiert. Er gibt an, bei einem mehrmonatigen Praktikum im Sommer 2013 bei FireEye im Bereich Mobile Malware Research im Advanced-Persistent-Threat-Team gearbeitet zu haben.

Die Staatsanwaltschaft wirft Culbertson in einem veröffentlichten Dokument (PDF) vor, die Android-Malware Dendroid zwischen Januar und August 2013 über das Darkode-Forum verbreitet zu haben. Das überschneidet sich mit seiner Praktikumszeit bei FireEye und legt nahe, dass er die dort erworbenen Spezialkenntnisse für die äußerst raffinierte Schadsoftware einsetzen konnte. Die Sicherheitsfirma erklärte inzwischen, ihn während der laufenden Ermittlungen nicht zu weiteren Praktika zulassen und selbst eine interne Untersuchung durchführen zu wollen.

Morgan Culbertson nannte sich im Forum schlicht „Android“. Der Anklage zufolge bot er das Toolkit Dendroid für 300 Dollar an, zahlbar in Bitcoin oder einer anderen Kryptowährung. Der Quellcode der Malware sollte sogar 65.000 Dollar bringen. Ihr Schöpfer garantierte, dass die Software von Schutzprogrammen nicht erkannt wird und sogar problemlos über Google Play auszuliefern ist.

Dendroid steht im Englischen für „baumähnlich“, die Bezeichnung soll also offenbar auf eine Baumstruktur mit Verzweigungen hinweisen. Das Toolkit besteht aus Anwendungpaket (APK), einem „Binder“ sowie einer Steuerkonsole für die Remote-Kontrolle der kompromittierten Geräte. Zum Download bereitgestellte Apps, die an Dendroid „gebunden“ sind, werden in ihrer Funktionalität nicht beeinträchtigt. Nach der Installation stellt die Software jedoch Verbindung zu einem Kommando- und Kontrollserver her.

Über Dendroid können Cyberkriminelle Android-Nutzer gezielt aus der Ferne ausspionieren. Es erlaubt ihnen etwa, Textnachrichten und Telefonanrufe mitzuschneiden, selbst Anrufe zu starten, Fotos und Videos aufzunehmen, den Surfverlauf der Nutzer zu verfolgen. Möglich ist ihnen auch, Dateien, Fotos sowie Kontaktlisten zu entwenden oder zu löschen.

F-Secure warnte im April 2014 vor Dendroid als neu entdecktem Toolkit, das die Erstellung von Android-Trojanern mit wenigen Mausklicks verspreche. Es sei vergleichbar mit Viren-Werkzeugkästen und Exploit-Kits für PC-basierte Schadsoftware und erlaube die Erstellung von Malware auch ohne technische Kenntnisse.

In seiner eigenen Schilderung des FireEye-Praktikums hebt Morgan Culbertson seinen Einsatz gegen Schadsoftware hervor. „Ich habe die Android-Malware-Erkennung verbessert durch die Entdeckung neuer bösartiger Malware-Familien und den Einsatz einer Vielzahl verschiedener Tools, Automatisierungstechnik und einer dekompilierenden analytischen Heuristik“, schreibt er auf LinkedIn. Andere Praktikumsteilnehmer beschreiben den mutmaßlichen Dendroid-Schöpfer als „technisch äußerst fähig“ sowie umgänglich. Gegenüber CNN erklärten sie, ihm nicht die wissentliche Verursachung eines so weitreichenden Schadens zuzutrauen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de