Monokle: Fortschrittlicher Android-Trojaner nimmt Fotos und Videos auf

Lookout hat eine neuartige und sehr leistungsfähige Android-Malware entdeckt, die offenbar für die zielgerichtete Überwachung ausgewählter Personen entwickelt wurde. Der Monokle genannte Remote Access Trojan (RAT) ist mit einer Vielzahl von Funktionen ausgestattet, die es ihm erlaubt, seine Opfer auszuspionieren. Unter anderem kann Monokle Fotos und Videos aufzeichnen.

Darüber hinaus ist die Schadsoftware mit einem Keylogger ausgestattet. Außerdem ist Monokle in der Lage, den Verlauf von Apps und Browsern auszulesen. Auch für Social-Media- und Messaging-Diensten soll der Trojaner nicht halt machen. Des Weiteren werden auch Standortdaten gesammelt und übermittelt.

Um all diese Aufgaben ausführen zu können, vor allem auch unbemerkt, ist Monokle mit mehreren vertrauenswürdigen Zertifikaten ausgestattet, um sich Rootrechte zu verschaffen. Der Schädling missbraucht außerdem die Bedienhilfen von Android, um auf Daten anderer Apps zuzugreifen. Einblicke in das Nutzerverhalten erhält Monokle auch über die Vorschläge der automatischen Rechtschreibkorrektur, die in der Regel auf den Eingaben des Nutzers basiert. Schließlich erfasst Monokle auch noch Bildschirminhalte, um Passwörter auszuspähen.

„Monokle ist eine fortschrittliche und voll ausgestattete mobile Überwachungssoftware“, sagte Adam Bauer, Senior Staff Security Intelligence Engineer bei Lookout im Gespräch mit ZDNet USA. „Sie könnte für jedes Ziel verwendet werden, das eine Überwachung durch eine mobile Vorrichtung erfordern würde.“

Bisher richtet sich Monokle nur gegen Android-Geräte. Die Forscher fanden im Code jedoch mehrere Hinweise auf eine geplante iOS-Version, darunter ungenutzte Befehle und Datentransfer-Objekte.

Wie viele Nutzer bisher von Monokle ausspioniert wurden oder noch werden, ist nicht bekannt. Die Malware ist jedoch bereits seit 2016 aktiv, und zwar vorrangig in der Kaukasus-Region sowie in Syrien. Auch ist nicht geklärt, wie Monokle auf Smartphones gelangt. In einigen Fällen wurden aber offenbar mit dem Trojaner infizierte Version echter Android-Apps in Umlauf gebracht. Auch Phishing soll bei der Verbreitung eine Rolle spielen.

Nach einer Analyse der Infrastruktur von Monokle ordnet Lookout die Malware dem russischen Unternehmen Special Technology Center (STC) zu. STC wiederum steht auf einer im Dezember 2016 veröffentlichten Sanktionsliste des damaligen US-Präsidenten Barack Obama. Als Lieferant des russischen Verteidigungsministeriums soll STC dem Main Intelligence Directorate (GRU) bei der Einmischung in den US-Wahlkampf geholfen haben.

Monokle wird Lookout zufolge derzeit noch aktiv gegen Nutzer eingesetzt. Der Forschungsbericht des Unternehmens enthält auch mehr als 80 mögliche Indikatoren für eine Kompromittierung durch Monokle.