Reporter ohne Grenzen hat eine Spionage-Software identifiziert, die gegen einen journalistisch arbeitenden Menschen aus Belarus eingesetzt wurde. Sie ist wohl seit über vier Jahren im Einsatz und funktionsgleich mit Apps, die legal zur Kinderüberwachung erhältlich sind.

Der belarussische Diktator Alexander Lukaschenko ist kein Fan der Pressefreiheit. Seine Staatsorgane „schikanieren unabhängige Journalisten mit Zensur, Gewalt und Verhaftungen“, schreibt Reporter ohne Grenzen (RSF). Nach Angaben der NGO sitzen in dem europäischen Staat 32 Journalist*innen im Gefängnis. 600 Medienschaffende hätten seit 2020 das Land verlassen müssen.

Journalist*innen, die weiterhin vor Ort arbeiten, stehen offenbar im Visier belarussischer Behörden. Das Digital Security Lab von RSF hat, gemeinsam mit der osteuropäischen Organisation RESIDENT.NGO, Spionage-Software auf dem Smartphone einer journalistisch arbeitenden Person identifizieren können.

Dieser Mensch war vom belarussischen Geheimdienst KGB zum Verhör vorgeladen worden. In diesem Rahmen wurde er gebeten, sein Smartphone zu entsperren, danach sollte er es für den Zeitraum des weiteren Verhörs in einem Schließfach einsperren. RSF geht davon aus, dass KGB-Mitarbeiter*innen die Eingabe der PIN beobachteten, das Telefon aus dem Schließfach holten und dann die Spionage-Software installierten.

Massiver Eingriff in die Privatsphäre

Das Digital Security Lab konnte die Schadsoftware untersuchen. Sie bietet Fern-Zugriff auf Anruf-Mitschnitte, Mikrofonaufnahmen, Bildschirmaufzeichnungen, SMS, Nachrichten aus verschlüsselten Messengerdiensten, den Standort des Telefons sowie lokal abgespeicherte Dateien. Für die Installation ist keine Sicherheitslücke nötig – aber der physische Zugriff auf das entsperrte Telefon. „Der Fall zeigt, wie massiv in die Privatsphäre von Journalist*innen eingegriffen werden kann – selbst ohne das Ausnutzen von Sicherheitslücken“, sagt Janik Besendorf, IT-Sicherheitsexperte beim Digital Security Lab.

Die Mitarbeiter*innen von RSF und RESIDENT.NGO haben das Programm ResidentBat getauft. Es ist im Prinzip eine gewöhnliche App für Android-Geräte – allerdings mit extrem weitreichenden Berechtigungen. Zentral dafür ist die Berechtigung „accessibility service“, auf Deutsch „Bedienungshilfen“. Sie erlaubt der App beispielsweise, auf das zuzugreifen, was andere Apps auf dem Bildschirm anzeigen. Das ist eigentlich für Menschen mit sensorischen Einschränkungen gedacht, die sich dann beispielsweise mit Hilfe spezieller Apps Inhalte anderer Apps vorlesen lassen können.

Laut dem entsprechenden Bericht des Digital Security Labs gibt es im staatlichen Einsatz einen Trend zu Spionage-Tools, die ohne Ausnutzung einer Sicherheitslücke, dafür aber mit physischem Zugriff auf das Zielgerät installiert werden. Als Beispiele werden NoviSpy, Massistant und Monokle genannt. Auch legal erhältliche Apps zur Überwachung von Kindern werden mit physischem Zugriff installiert und spionieren über weitreichende Berechtigungen Zielgeräte aus. Dass laut der Analyse des Digital Security Labs der belarussische Geheimdienst vermutlich ein funktionsidentisches Tool nutzt, zeigt, wie bedrohlich derartige Spionage-Software ist.

„Die umfangreichen Funktionen von ResidentBat zeigen erneut, dass Spionagesoftware schwer mit Menschenrechten in Einklang zu bringen ist. Daher setzt sich Reporter ohne Grenzen für ein internationales Verbot solcher invasiver Technologien ein“, sagt Anja Osterhaus, Geschäftsführerin von Reporter ohne Grenzen.

„Ein schwerer Schlag für den belarussischen Geheimdienst“

Das Digital Security Lab konnte per Vergleich mit bereits bekannten Schadprogrammen weitere Varianten von ResidentBat identifizieren. Eine stammt aus dem Jahr 2021. Vermutlich wird also seit mindestens vier Jahren derartige Spionage-Software in Belarus eingesetzt. Wer das Programm entwickelt hat, ist unklar. Im Code der Software finden sich englischsprachige Zeichenketten, was darauf hindeuten könnte, dass das Programm nicht in Belarus geschrieben wurde.

Reporter ohne Grenzen geht davon aus, dem belarussischen Geheimdienst mit der Enttarnung der App einen schweren Schlag verpasst zu haben. Menschen, die fürchten, Ziel derartiger Spionage-Software zu sein, empfehlen die Mitarbeitenden des Digital Security Labs, den Advanced Protection Mode von Android zu aktivieren. Dieser unterbindet die Installation von Apps aus unbekannten Quellen und verhindert, dass grundlegende Sicherheitsmechanismen ausgeschaltet werden, wie es zur Installation solcher Apps nötig ist.

Wer fürchtet, dass ein Gerät bereits befallen ist, sollte überprüfen, ob Apps die Berechtigung „Bedienungshilfen“ besitzen. Bei nicht sensorisch beeinträchtigten Personen sollte keine App diese nutzen. Wenn dort doch eine verzeichnet ist, empfiehlt es sich, das Handy in den Flugmodus zu versetzen. Denn das Telefon kann mit ResidentBat und ähnlichen Programmen aus der Ferne auf Werkseinstellungen zurückgesetzt werden, wodurch die Belege für den Spionage-Software-Befall gelöscht würden. Das vom Netz abgehängte Telefon lässt sich dann beispielsweise mit dem Programm MVT auf bekannte Spionage-Apps untersuchen. Betroffene Journalist*innen können sich auch an das Digital Security Lab von RSF wenden.