Cyber-Söldner spionieren Journalisten im Nahen Osten aus

Eine koordinierte Spionagekampagne hat in den vergangenen Monaten gezielt Journalisten, Aktivisten und Beamte im Nahen Osten und Nordafrika ins Visier genommen. Ein aktueller Bericht der Organisationen Access Now, Lookout und SMEX enthüllt den Einsatz hochspezialisierter Schadsoftware, die sich als legitime Messenger tarnte. Experten vermuten eine südasiatische Hack-for-Hire-Gruppe hinter den Angriffen.

Banking, E-Mails, Fotos — auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, was sie zum idealen Ziel für Hacker macht. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Gerät wirksam gegen Viren und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die perfide Täuschung: Gefälschte Signal- und ToTok-Apps

Kern der Angriffe waren manipulierte Versionen bekannter Kommunikations-Apps. Die Angreifer lockten ihre Opfer auf präparierte Webseiten, die offiziellen Plattformen täuschend ähnlich sahen. Dort boten sie ein angebliches „Signal Encryption Plugin“ oder eine „ToTok Pro“-Version zum Download an.

Besonders tückisch: Die gefälschte ToTok-App wurde auch über Portale verbreitet, die den Samsung Galaxy Store imitierten. Die ursprüngliche ToTok-App war bereits vor Jahren wegen Überwachungsvorwürfen aus den App-Stores entfernt worden. In der Region besteht aber weiterhin Nachfrage nach funktionierenden Alternativen – eine Lücke, die die Spione skrupellos ausnutzten.

So knackten die Hacker das Vertrauen ihrer Opfer

Die Infiltration begann selten mit Technik, sondern mit Psychologie. Die Angreifer bauten über soziale Netzwerke wie LinkedIn mühsam Vertrauen auf. Sie erschufen gefälschte Profile, etwa der angeblichen Personalerin „Haifa Kareem“, und nahmen Kontakt zu Zielpersonen auf.

Ägyptischen Journalisten wie Mostafa Al-A’sar und Ahmed Eltantawy wurden exklusive Informationen oder Jobangebote unterbreitet. War das Vertrauen erst gewonnen, lenkten die Hacker ihre Opfer auf die schadhaften Webseiten. Teilweise forderten sie sogar Zwei-Faktor-Authentifizierungscodes auf gefälschten Login-Seiten von Google oder Apple an. So erlangten sie vollständige Kontrolle über Geräte, Cloud-Backups und Kommunikation.

Was die Spionage-Apps ProSpy und ToSpy alles können

Die Schadprogramme, von Sicherheitsforschern ProSpy und ToSpy getauft, sind wahre Alleskönner. Einmal auf einem Android-Gerät installiert, sammeln sie heimlich sensible Daten. Analysen von ESET und Lookout zeigen: Die Malware kann den Standort in Echtzeit verfolgen, Mikrofon und Kamera unbemerkt aktivieren und sogar Chat-Backups von WhatsApp und Telegram auslesen.

Alle gestohlenen Daten werden vor der Übertragung an die Command-and-Control-Server verschlüsselt. Die Infrastruktur der Angreifer nutzt oft Domains mit der Endung „.ae.net“, was auf einen Fokus auf Ziele in den Vereinigten Arabischen Emiraten hindeutet. Betroffen waren aber auch Personen in Bahrain, Saudi-Arabien, dem Libanon und Ägypten.

Dass Spionage-Apps sogar verschlüsselte Chat-Backups auslesen können, unterstreicht die Notwendigkeit professioneller Sicherheitsvorkehrungen für jedes Mobilgerät. Erfahren Sie in diesem kostenlosen Leitfaden, welche fünf Maßnahmen IT-Experten empfehlen, um WhatsApp, PayPal und Co. endlich sicher zu nutzen. Kostenlosen Sicherheits-Ratgeber herunterladen

Wer steckt hinter der professionellen Hack-for-Hire-Gruppe?

Die Kampagne passt in einen besorgniserregenden Trend: die Kommerzialisierung der Cyberspionage. Die Spuren deuten auf eine professionelle „Hack-for-Hire“-Gruppe hin, die ihre Dienste vermutlich an staatliche Auftraggeber verkauft. Diese wollen so ihre eigenen Spuren verwischen.

Die Verbindung zu südasiatischen Akteuren leiten Experten aus Ähnlichkeiten im Code und der Infrastruktur mit früheren Kampagnen ab. Geopolitische Spannungen in der Region heizen den Markt für solche Cyber-Söldner weiter an. Ein Albtraum für Sicherheitsexperten: Der Einsatz von KI könnte Phishing-Angriffe in Zukunft noch überzeugender und gefährlicher machen.

Wie kann man sich schützen?

Die Aufdeckung zeigt ein grundlegendes Problem: Die manuelle Installation von Apps außerhalb der offiziellen Stores bleibt ein enormes Sicherheitsrisiko. Sicherheitsexperten raten dringend davon ab, Messenger-Erweiterungen oder „Pro“-Versionen von dubiosen Quellen zu installieren.

Für gefährdete Gruppen wie Journalisten in der Region wird der Schutz der digitalen Identität zur Überlebensfrage. Organisationen wie Access Now wollen nun mit Schulungen und technischer Hilfe gegensteuern. Doch die Cyber-Söldner sind schnell, gut ausgestattet und immer einen Schritt voraus. Der Kampf gegen ihre mächtigen Überwachungswerkzeuge hat gerade erst begonnen.

de | boerse | 69118582 |