Die Hacking-Tools eines italienischen Unternehmens wurden verwendet, um Apple- und Android-Smartphones in Italien und Kasachstan auszuspionieren, sagte Google von Alphabet Inc. in einem neuen Bericht.
Das in Mailand ansässige RCS Lab, dessen Webseite behauptet, dass europäische Strafverfolgungsbehörden als Kunden Tools entwickelt haben, um private Nachrichten und Kontakte der Zielgeräte auszuspionieren, heißt es in dem Bericht.
Europäische und amerikanische Regulierungsbehörden haben potenzielle neue Regeln für den Verkauf und Import von Spyware abgewogen.
„Diese Anbieter ermöglichen die Verbreitung gefährlicher Hacking-Tools und bewaffnen Regierungen, die diese Fähigkeiten nicht intern entwickeln könnten“, sagte Google.
Die Regierungen Italiens und Kasachstans reagierten nicht sofort auf Anfragen nach Kommentaren. Ein Apple-Sprecher sagte, das Unternehmen habe alle bekannten Konten und Zertifikate im Zusammenhang mit dieser Hacking-Kampagne widerrufen.
RCS Lab sagte, dass seine Produkte und Dienstleistungen den europäischen Vorschriften entsprechen und den Strafverfolgungsbehörden helfen, Verbrechen zu untersuchen.
„Das Personal von RCS Lab ist weder exponiert noch nimmt es an Aktivitäten teil, die von den relevanten Kunden durchgeführt werden“, teilte es Reuters in einer E-Mail mit und fügte hinzu, dass es jeden Missbrauch seiner Produkte verurteilte.
Google sagte, es habe Schritte unternommen, um die Nutzer seines Android-Betriebssystems zu schützen, und sie vor der als Hermit bekannten Spyware gewarnt.
Die globale Industrie, die Spyware für Regierungen herstellt, ist gewachsen, und immer mehr Unternehmen entwickeln Abhörtools für die Strafverfolgung. Anti-Überwachungs-Aktivisten werfen ihnen vor, Regierungen zu unterstützen, die in einigen Fällen solche Instrumente einsetzen, um gegen Menschen- und Bürgerrechte vorzugehen.
Die Branche geriet weltweit ins Rampenlicht, als in den letzten Jahren festgestellt wurde, dass die Pegasus-Spyware der israelischen Überwachungsfirma NSO von mehreren Regierungen zum Ausspionieren von Journalisten, Aktivisten und Dissidenten verwendet wurde.
Obwohl das Tool von RCS Lab nicht so heimlich wie Pegasus ist, kann es dennoch Nachrichten lesen und Passwörter anzeigen, sagte Bill Marczak, ein Sicherheitsforscher beim Digital Watchdog Citizen Lab.
„Dies zeigt, dass, obwohl diese Geräte allgegenwärtig sind, noch ein langer Weg zu gehen ist, um sie gegen diese mächtigen Angriffe zu schützen“, fügte er hinzu.
RCS Lab beschreibt sich auf seiner Website als Hersteller von „rechtmäßigen Abhör“-Technologien und -Diensten, darunter Sprach-, Datenerfassungs- und „Verfolgungssysteme“. Es sagt, dass es allein in Europa täglich 10.000 abgefangene Ziele handhabt.
Google-Forscher fanden heraus, dass RCS Lab zuvor mit der umstrittenen, nicht mehr existierenden italienischen Spionagefirma Hacking Team zusammengearbeitet hatte, die ebenfalls Überwachungssoftware für ausländische Regierungen entwickelt hatte, um Telefone und Computer anzuzapfen.
Hacking Team ging pleite, nachdem es 2015 Opfer eines großen Hacks wurde, der zur Offenlegung zahlreicher interner Dokumente führte.
In einigen Fällen glaubte Google, dass Hacker, die RCS-Spyware verwendeten, mit dem Internetdienstanbieter des Ziels zusammenarbeiteten, was darauf hindeutet, dass sie Verbindungen zu staatlich unterstützten Akteuren hatten, sagte Billy Leonard, ein leitender Forscher bei Google.
Beweise deuten darauf hin, dass Hermit in einer überwiegend kurdischen Region Syriens eingesetzt wurde, sagte das mobile Sicherheitsunternehmen.
Die Analyse von Hermit zeigte, dass es verwendet werden kann, um die Kontrolle über Smartphones zu erlangen, Audio aufzunehmen, Anrufe umzuleiten und Daten wie Kontakte, Nachrichten, Fotos und Standorte zu sammeln, sagten Forscher von Lookout.
Google und Lookout bemerkten die Verbreitung von Spyware, indem sie Leute dazu brachten, auf Links in Nachrichten zu klicken, die an Ziele gesendet wurden.
„In einigen Fällen glauben wir, dass die Akteure mit dem ISP (Internet Service Provider) des Ziels zusammengearbeitet haben, um die mobile Datenverbindung des Ziels zu deaktivieren“, sagte Google.
„Nach der Deaktivierung sendete der Angreifer einen böswilligen Link per SMS und forderte das Ziel auf, eine Anwendung zu installieren, um seine Datenkonnektivität wiederherzustellen.“
Wenn sie sich nicht als Anbieter von mobilen Internetdiensten ausgeben, senden die Cyberspione Links, die vorgeben, von Telefonherstellern oder Messaging-Anwendungen zu stammen, um die Leute zum Klicken zu verleiten, sagten Forscher.
„Hermit täuscht Benutzer, indem es die legitimen Webseiten der Marken anbietet, die es imitiert, während es böswillige Aktivitäten im Hintergrund startet“, sagten Forscher von Lookout.
Google sagte, es habe Android-Benutzer gewarnt, die von der Spyware betroffen sind, und die Software-Abwehr verstärkt. Apple teilte AFP mit, es habe Schritte unternommen, um iPhone-Nutzer zu schützen.
Das Bedrohungsteam von Google verfolgt laut dem Alphabet-eigenen Tech-Titan mehr als 30 Unternehmen, die Überwachungsfunktionen an Regierungen verkaufen.
„Die kommerzielle Spyware-Industrie gedeiht und wächst mit einer beträchtlichen Geschwindigkeit“, sagte Google.