Predator von CytroxSpähsoftware auf Telefon von griechischem Journalisten entdeckt

Ein Untersuchungsausschuss im EU-Parlament soll den Einsatz von Trojanern gegen Oppositionelle und Medienschaffende in Europa aufarbeiten. Auch deutsche Auftraggeber:innen könnten nach einer Analyse des Meta-Konzerns ins Visier geraten.

Das Bild zeigt den Ausschnitt von zwei sitzenden Personen, die ein Smartphone in den Händen halten.
Das Telefon eines ägyptischen Oppositionellen wurde mit Pegasus und Predator behelligt (Symbolbild). Gemeinfrei-ähnlich freigegeben durch unsplash.com Stephen Petrey

Am 10. März hat das Europäische Parlament die Einsetzung eines Untersuchungsausschusses zum Trojanerprogramm Pegasus beschlossen, vergangenen Dienstag traf sich dieser zur konstituierenden Sitzung. Hintergrund sind bekannt gewordene Einsätze der von der israelischen NSO Group hergestellten Spähsoftware gegen Oppositionelle und Journalist:innen in Ungarn und Polen. Die Firma will ihr Werkzeug in fast alle Länder Europas verkauft haben, berichtet das Magazin New Yorker.

An der Untersuchung mit der Abkürzung „PEGA“ sind Abgeordnete beteiligt, die selbst mit der NSO-Spähsoftware überwacht wurden, hierzu gehört etwa der katalanische Politiker Carles Puigdemont. Diesen „CatalanGate“ hatte die kanadische Forschungsgruppe Citizen Lab zum Start von „PEGA“ öffentlich gemacht. Auch die EU-Kommission war offenbar Ziel des Trojaners.

Untersuchung von Citizen Lab

Die EU-Abgeordneten haben den Auftrag des Ausschusses vorsorglich auf „ähnliche Überwachungs- und Spähsoftware“ ausgeweitet, wenn diese „unter Ausnutzung von IT-Schwachstellen auf mobilen Geräten installiert ist“. Das könnte sich etwa im Fall des Trojaners Predator, der zur Zeit in Griechenland für Aufregung sorgt, als kluger Schachzug erweisen.

Am 11. April hat das griechische Internetmagazin Inside Story bekannt gemacht, dass die Spähsoftware auf dem Telefon des auf Finanzen und Korruption spezialisierten Journalisten Thanasis Koukakis gefunden wurde. Auch hier lag der Meldung eine Untersuchung von Citizen Lab zugrunde. Demnach gelang die Infektion des Mobiltelefons von Koukakis durch eine personalisierte Textnachricht mit einem kompromittierten Link. Als möglicher Urheber wird der zivile Geheimdienst in Griechenland genannt.

Hersteller von Predator ist die Firma Cytrox, die laut BalkanInsight 2017 von fünf israelischen Staatsangehörigen und einem Ungarn als Aktiengesellschaft in Skopje (Nordmazedonien) gegründet wurde. Eigentümer des inzwischen zu einer Gesellschaft in Ungarn gehörenden Unternehmens sei der 70-jährige israelische Luftwaffenveteran Meir Shamir. Als Geschäftsführer gilt der Nordmazedonier Ivo Malinkovksi. Cytrox soll weitere Produktionsstätten und Büros in Ungarn und Israel unterhalten.

Pegasus vs. Predator

Predator funktioniert auf Telefonen mit Android und iOS-Betriebssystemen und sammelt Informationen aus mobilen Geräten und damit verbundenen Cloud-Diensten. Dateien, Fotos, Internetverläufe, Kontakte und Passwörter werden nach einer erfolgreichen Infektion an die Auftraggeber:innen ausgeleitet.

Bekannt wurde die Software unter anderem aus Ägypten, wo Citizen Lab den Einsatz auf Mobiltelefonen von zwei Oppositionellen nachweisen konnte. Die Infektion erfolgte durch den Klick auf einen Link in einer Whatsapp-Nachricht. Einem der Betroffenen wurde sogar zusätzlich der NSO-Trojaner aufgespielt, was die Forscher:innen zur Überschrift „Pegasus vs. Predator“ veranlasste.

Im Dezember hatte der Meta-Konzern 50.000 Inhaber:innen von Facebook- oder Instagram-Accounts vor staatlicher Überwachung mit Trojaner-Programmen gewarnt und Accounts stillgelegt. Auch die Spähsoftware Predator wurde in dem dazu veröffentlichten Bericht erwähnt. Die Trojaner-Schmiede Cytrox gehört demnach zu den sieben Firmen, deren Präsenz aus 1.500 gefälschten Konten in sozialen Netzwerken von Meta getilgt wurde. Allein 300 dieser Accounts sollen laut Facebook von Cytrox eingerichtet worden sein.

Konkurrenz zur NSO Group

Nicht nur die Tatsache, dass mit Predator ein Journalist in einem EU-Mitgliedstaat überwacht wurde, bringt die Software auf das Radar des Untersuchungsausschusses im Brüsseler Parlament. Cytrox wird der sogenannten „Intellexa-Allianz“ zugerechnet, in der sich verschiedene Trojaner-Hersteller zusammengeschlossen haben, wohl auch um gegenüber anderen Herstellern wie NSO Group konkurrenzfähig zu sein. Nach eigenen Aussagen verfügt das Netzwerk über sechs Standorte und Forschungslabors in ganz Europa.

Als Konstrukteur der „Intellexa-Allianz“ gilt der israelische Ex-Kommandeur Tal Dilian, der daran mit seiner Firma WiSpear beteiligt ist. Das offenbar in Passitora Ltd. umbenannte Unternehmen mit Sitz auf Zypern geriet 2019 in die Schlagzeilen, als Dilian einen schwarzen Van mit Überwachungstechnik im Wert von neun Millionen Dollar auf die Insel brachte.

Bislang hat der Untersuchungsausschuss noch nicht festgelegt, welche Zeug:innen zur Anhörung vorgeladen werden, auf jeden Fall wird dies aber Geschäftsführer der Trojaner-Firmen betreffen. Unter Umständen könnten auch deutsche Behörden ins Visier geraten. Laut Meta wird die Spähsoftware von Cytrox in Armenien, Saudi-Arabien, Oman, Kolumbien, Côte d’Ivoire, Vietnam und den Philippinen eingesetzt. Neben Griechenland ist Deutschland laut Metas Bericht der zweite bekannte EU-Mitgliedstaat, in den Predator verkauft wurde.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.