1ByteFirma hinter Stalkerware-Netzwerk enttarnt

Seit Jahren rätseln Sicherheitsforscher:innen, wer hinter einer Reihe von nahezu identischen Spionageapps steht. Das Nachrichtenportal Techcrunch fand nun eine gravierende Sicherheitslücke im Code der Apps. Darüber landeten nicht nur die Daten der Ausgespähten für alle zugänglich im Netz – sondern auch verräterische Dokumente der Macher.

Fünf gezeichnete Augen unterschiedlicher Größe
400.000 Personen waren von der Ausspähung durch die Stalkerware-Apps betroffen. Vereinfachte Pixabay Lizenz Doodlart, Bearbeitung: netzpolitik.org

Während Staatstrojaner gerade in aller Munde sind, diskutieren wir nur wenig über herkömmliche Spionage-Apps. Solche Überwachungsapps stehen den Staatstrojanern in nichts nach – betroffene Geräte lassen sich umfassend ausspähen. Im Rahmen einer breiteren Untersuchung hat das Nachrichtenportal TechCrunch eine Sicherheitslücke in einem ganzen Netzwerk solcher Spionage-Apps entdeckt. Dadurch fanden sie heraus, dass die Spyware der Firma 1Byte mit Sitz in Vietnam hinter dem Netzwerk steht. Insgesamt sollen mit ihrer Software 400.000 Personen bespitzelt worden sein. Zudem ist es derzeit jedem möglich jegliche Daten der infizierten Geräte abzugreifen.

Oft als sogenannte „Monitoring-Apps“ vermarktet, sollen die Apps vermeintlich bei der Kontrolle der eigenen Kinder helfen. Auch die Kontrolle von Angestellten ist in Deutschland legal, sollten jene der Überwachung zugestimmt haben. Allerdings nutzen Täter:innen die App häufig auch, um die eigenen Partner:innen zu überwachen. Forscher:innen sprechen in dem Zusammenhang auch von „technologiegestützter Gewalt“, da die Überwachung mit einer umfassenden Kontrolle der Partner:in einhergehen kann.

Für die digitale Spionage installieren Täter:innen eine Stalkerware-App auf dem Smartphone ihres Opfers. Im Anschluss lässt sich das Gerät umfassend ausspähen – meist ohne dass das Opfer selbst davon etwas mitbekommt. Die App arbeitet still im Hintergrund. Die Stalkerware von 1Byte lässt sich beispielsweise nur durch eine gründliche Untersuchung des Geräts aufspüren.

Neun Apps, neun Scheinfirmen, eine Sicherheitslücke

Wie TechCrunch während der monatelangen Recherche feststellte, teilten die neun unterschiedlichen Adroid-Apps Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker und GuestSpy im Hintergrund nahezu den gleichen Quellcode und die selbe Infrastruktur – und auf diese Weise auch eine gemeinsame Sicherheitslücke. Durch die Lücke konnte die Redaktion feststellen, dass insgesamt 400.000 Geräten von der Spionage betroffen waren.

Um die eigene Beteiligung zu verschleiern, hat 1Byte für jede der Apps eine eigene IT-Firma erfunden und eine zugehörige Webseite erstellt. Bis auf den Namen waren die Seiten allerdings nahezu identisch und wurden laut TechCrunch alle auf dem gleichen Server gehostet. Laut den Webseiten handele es sich jeweils um ein vermeintliches „Software Outsourcing“-Unternehmen mit Hunderten Mitarbeiter:innen. 1Byte habe falsche E-Mail-Identitäten genutzt, um die eigenen Spuren zu verwischen. Die Zahlung verwaltete 1Byte über eine weitere Firma namens Affiligate.

Trotz der Maßnahmen gelang es TechCrunch, die Firma hinter dem App-Netzwerk zu enttarnen. So fanden sie ungeschützte, frei aufrufbare Entwicklernotizen, die neben dem Entwicklungsverlauf der Spyware auch Screenshots und weitere Daten in Verbindung zu 1Byte enthielten. TechCrunch hatte zuvor versucht wegen der Sicherheitslücke mit 1Byte in Kontakt zu treten. Die Firma hat die Ersuche nicht beantwortet – stattdessen löschte sie die Kontakt-Adresse. Seit den Kontaktversuchen scheinen zudem mindestens zwei der Spionageapps nicht mehr zu funktionieren. Die gravierende Sicherheitslücke besteht nach wie vor.

Stalkerware hoch im Kurs

Die Nutzung von Stalkerware scheint zuzunehmen. Eine internationale Online-Umfrage im Jahr 2021 ergab, dass es 30 Prozent der Befragten in Ordnung fanden, ihre Partner:in über Spyware auszuspionieren – in Deutschland fanden dies 22 Prozent der Befragten zumindest unter Umständen akzeptabel. Mit 1000 deutschen Befragten war die Umfrage allerdings nicht repräsentativ für die Gesamtbevölkerung.

Betroffen sind meist Android-Geräte, da sich auf einem iPhone nur Apps aus dem App-Store installieren lassen. Spyware-Apps müssen allerdings aus dem Internet heruntergeladen werden, weswegen diese auf IPhones nur mit Hilfe eines Jailbreak installierbar sind.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.