Googles Threat Analysis Group (TAG) hat zuletzt zwei spezielle Spyware-Kampagnen beobachtet, mit denen Smartphone-Nutzer beobachtet und getrackt werden können. Die Angreifer haben sich dabei kommerzieller Spyware bedient, die Zero-Day-Exploits in den Betriebssystemen Android und iOS sowie in den Internet-Browsern Chrome und von Samsung ausnutzen. Das Security-Lab von Amnesty International hatte Google auf eine dieser Kampagnen aufmerksam gemacht.

Die erste von Google genannte Kampagne bedient sich per SMS verschickten Links. Nach einem Klick landen die Nutzer auf mit Spyware verseuchten Webseiten, bevor sie automatisch auf legitime Websites etwa von Paketdiensten oder Nachrichtenmagazinen weitergeleitet werden. Diese Kampagne zielte auf Nutzer in Italien, Malaysia und Kasachstan und nutzte Sicherheitslücken in Android und iOS. Diese wurden mit iOS 15.1 und mit Chrome 106 abgedichtet.

Interessanterweise nutzte die Kampagne eine vorgeblich automatische Weiterleitung von Samsungs Internet-Browser zu Chrome. In der Vergangenheit war das exakt umgekehrt, da die Angreifer dann eine Sicherheitslücke in Samsungs Browser ausnutzen wollten. Samsung nutzt für den eigenen Browser ebenfalls Chromium, hängt mit Updates zeitlich aber oft etwas hinterher.

Amnesty International entdeckt Spyware im Nahen Osten

Die zweite Spyware-Kampagne geht auf Hinweise von Amnesty International zurück. Sicherheitsforscher der Menschenrechtsorganisation hatten im Dezember 2022 herausgefunden, dass Menschen in den Vereinigten Arabischen Emiraten SMS mit Phishing-Links erhalten haben, die sich einer Lücke in Samsungs Internet-Browser zunutze machten. Der Link führte zu einer Webseite, die einer vom kommerziellen Spyware-Anbieter Variston zuvor bereits genutzten Webseite sehr ähnelt.

Samsungs Internet-Browser nutzte Ende 2022 noch Chromium 102 und diese Browser-Engine ist noch nicht entsprechend gegen die Exploits abgesichert. Samsung hat die Sicherheitslücken Ende Dezember letzten Jahres mit der Version 19.0.6 seines Browsers geschlossen. Auch wenn die meisten der ausgenutzten Sicherheitslücken inzwischen durch Updates abgedichtet wurden, so verweist Google trotzdem deutlich auf die Eigenverantwortung der Smartphone-Nutzer. Diese sollten Updates, insbesondere Sicherheits-Updates, zügig installieren.

Google zählt über 30 kommerzielle Spyware-Anbieter

Googles TAG verfolgt nach eigenen Angaben aktuell mehr als 30 Anbieter, die Exploits und Überwachungsmöglichkeiten an Regierungsstellen verkaufen wollen. Diese haben zumeist nicht die Ressourcen für eigene Spyware und bedienen sich deshalb kommerziellen Hacking-Tools. Überwachungstechnik ist zwar oft legal nach nationalem und internationalem Recht, wird von manchen Regierungen aber auch gegen Opposition, Dissidenten, Menschenrechtsaktivisten oder sogar Journalisten eingesetzt. In den Vereinigten Staaten hat Präsident Biden kürzlich den Einsatz kommerzieller Spyware eingeschränkt.

(fds)