Trojaner "made in Germany" spioniert in Bahrain

In einer von Citizenlab veröffentlichten, detaillierten Analyse der Aktivitäten eines Trojaners kommen die Experten zu dem Schluss, dass es sich wahrscheinlich um ein Exemplar des kommerziellen Spionage-Tools FinFisher der Firma Gamma International handelt. Der Trojaner wurde gezielt an politische Aktivisten in Bahrain verschickt und trug als Absender unter anderem den Namen einer Aljazeera-Korrespondentin und Betreffs wie "Torture reports on Rabil Najaab".

Der Trojaner zeigte sogar tatsächlich Bilder an, während er im Hintergrund aktiv wurde.
Bild: Citizenlab

Die angehängte und trickreich als Bild getarnte exe-Datei deakivierte Antiviren-Software und installierte einen kompletten Satz von Spionage-Programmen auf dem PC. Die überwachten dann unter anderem die Skype-Kommunikation des Opfers, inklusive Gesprächen und Dateiübertragungen. Die Analyse des Arbeitsspeichers infizierter Systeme förderte mehrfach die Zeichenkette "finspy" zu Tage. Diesen Namen benutzt Gamma unter anderem um FinFisher-Module zu bewerben.

Darüber hinaus kam ein sehr spezieller Exe-Packer zum Einsatz, dessen Signatur auch auf ein anderes Sample ansprang, das die Forscher als Demo-Version des Trojaners einstufen. Sie kommunizierte unter anderem mit dem Server tiger.gamma-international.de dessen Domain in Deutschland auf die Firma Gamma International GmbH registriert ist. Zwar firmiert der FinFisher-Lieferant Gamma International Ltd. offiziell in Großbritannien, doch es gibt deutliche Indizien, dass die eigentliche Entwicklung der Software in Deutschland stattfindet. Das Überwachungs-Tool FinFisher ist in der Vergangenheit bereits mehrfach im Zusammenhang mit dem Ausspionieren politischer Aktivisten durch Regierungsbehörden aufgefallen. Zuletzt erhielt die Firma für ihre Aktivitäten einen Big Brother Award. (ju)