Predator: iPhone-Spyware soll sich ĂĽber Apples Kurzbefehle einnisten
Sicherheitsforscher haben neue Spyware auf dem iPhone eines ägyptischen Politikers analysiert. Das Gerät war zeitgleich mit der NSO-Spyware Pegasus infiziert.
Das kanadische Citizen Lab hat erste Details zu einer neuen Spyware eines weitgehend unbekannten Konkurrenten der NSO Group veröffentlicht. Die "Predator" genannte Spionagesoftware sei auf den Geräten von zwei Exil-Ägyptern – dem Politiker Aiman Nur sowie einem ungenannten "Sprecher eines populären Nachrichtenprogramms" – gefunden worden. Das iPhone des Politikers sei dabei gleichzeitig mit Predator und der Spionagesoftware Pegasus des Konkurrenten NSO Group infiziert gewesen.
HeiĂźgelaufenes Smartphone mit Doppel-Spyware
Nur ist misstrauisch geworden, weil sein iPhone "heißlief", auf dem die zu diesem Zeitpunkt neueste Version iOS 14.6 installiert war, erläutern die Sicherheitsforscher. Predator sei wohl über eine manipulierte Webseite installiert worden – nach Anklicken eines per WhatsApp zugeschickten Links.
Der "Loader" von Predator lösche nach der Installation alle Log-Files auf dem Gerät und lade anschließend weitere Komponenten von einem Server nach. Zudem versucht die Spyware offenbar, die Automatisierungsfunktionen des Betriebssystem einzusetzen, um sich beispielsweise nach Neustarts stets wieder erneut zu installieren: Über eine Automation in Apples Kurzbefehle-App wird beim Öffnen gängiger Apps eine URL aufgerufen, die dann offenbar erneut zur Kompromittierung des Gerätes über eine Schwachstelle in der Browser-Engine WebKit führt, erklärt Citizen Lab.
Benachrichtigungen ĂĽber die AusfĂĽhrung der Automation wĂĽrden mit einem Konfigurationsprofil unterdrĂĽckt. Wie die Spyware weitere Sicherheitsvorkehrungen in Apples Kurzbefehle-App umgeht, bleibt unklar. Neben einer iOS-Version gibt es Predator demnach auch in einer Variante fĂĽr Android zu geben, hier fehlt aber ein Mechanismus fĂĽr Persistenz, so die Sicherheitsforscher.
Spyware-Problem reicht ĂĽber einzelne Anbieter hinaus
Predator werde von der noch weitgehend unbekannten Firma Cytrox entwickelt, die unter anderem in Israel und Ungarn ansässig sei und Berichten zufolge zu Intellexa gehört. Der Verbund beschreibe sich als "EU-basiert und reguliert" und wolle mit der NSO Group konkurrieren, wie Citizen Lab ausführt.
Die Sicherheitsforscher mutmaßen, dass hinter den Angriffen staatliche Akteuere in Ägypten stehen. Solche Angriffe auf die Zivilgesellschaft machen deutlich, dass das Problem weit über einen einzelnen Spyware-Anbieter hinausgeht – ohne internationale und lokale Regulierung und Sicherheitsvorkehrungen würden solche Angriffe auf Menschenrechtler, Oppositionelle und Journalisten ungehindert fortgesetzt.
Lesen Sie auch
Pegasus: Der Spion, der auf das iPhone kam
(lbe)