Handy-Spione als Schnäppchen: Italiens boomende Spyware-Schattenindustrie

Wenn von staatlicher Überwachungssoftware die Rede ist, fallen meist Namen wie Pegasus, Predator oder Paragon (Graphite)). Diese hochentwickelten Werkzeuge kosten Millionen und nutzen unbekannte Sicherheitslücken in Form von Zero-Day-Exploits, um Smartphones völlig ohne Zutun der Betroffenen zu infizieren. Doch diese High-End-Produkte bilden nur die Spitze des Eisbergs. Abseits des Rampenlichts hat sich in Europa ein paralleler, weitaus billigerer Markt etabliert.

Eine Untersuchung der NGO Osservatorio Nessuno und der Dachvereinigung European Digital Rights (EDRi) beleuchtet die Schattenwelt der Low-Cost-Spyware in Italien. Hier existieren Dutzende kleinerer Überwachungsfirmen, die maßgeschneiderte Trojaner für Ermittlungsbehörden entwickeln. Recherchen des Mediennetzwerks IrpiMedia zeigen, dass italienische Staatsanwaltschaften teils nur ein paar Dutzend Euro pro Überwachungstag zahlen. In diesem Niedrigpreissegment sind teure Sicherheitslücken gar nicht notwendig. Stattdessen setzen die Anbieter auf psychologische Tricks und Social Engineering, um Zielgeräte zu kapern.

Ein reales Szenario verdeutlicht das Vorgehen dieser günstigen Spione. Plötzlich verliert die Zielperson den Mobilfunkempfang. Unmittelbar danach trifft eine SMS ein, die scheinbar vom Mobilfunkanbieter stammt. Sie fordert den Nutzer dazu auf, ein angeblich dringendes Update zu installieren, um den Dienst wiederherzustellen. Der beigefügte Link führt auf eine echt wirkende Phishing-Seite im Namen des Providers. Dort wird das Opfer dazu verleitet, eine manipulierte Android-Anwendungsdatei (APK) herunterzuladen, bei der es sich um eine präparierte Kopie der regulären App handelt.

Sobald die Installation abgeschlossen ist, beginnt das Programm mit der Datenspionage. Damit die Täuschung funktioniert, greifen die Überwacher auf die Schützenhilfe der Internetanbieter zurück. Auf Anfrage von Justiz oder Strafverfolgern drosseln die Provider gezielt die Verbindung des Betroffenen, um den Vorwand der SMS glaubwürdig erscheinen zu lassen. Einmal auf dem Telefon aktiv, missbrauchen diese Anwendungen die Android-Barrierefreiheitsdienste, verknüpfen unbemerkt WhatsApp-Sitzungen mit externen Geräten, deaktivieren lokale Antivirenprogramme und unterdrücken standardmäßige Warnhinweise, die den Zugriff auf Mikrofon oder Kamera anzeigen.

Günstige Schadprogramme im Dauereinsatz

Osservatorio Nessuno hat zwei bisher kaum bekannte Produkte beleuchtet. Das Schadprogramm Morpheus, das mit der Firma IPS Intelligence in Verbindung gebracht wird, überlistet Opfer gezielt bei der Nutzung von WhatsApp. Es blendet eine gefälschte biometrische Abfrage ein. Diese legt sich exakt über die originale Aufforderung zur Geräteverknüpfung, wodurch die Angreifer Zugriff auf das Chat-Konto erlangen.

Ähnlich agiert der Staatstrojaner Spyrtacus, den das Unternehmen SIO entwickelt und vertreibt. Durch den Missbrauch von Bedienungshilfen fertigt dieser Screenshots an, schneidet Sprachanrufe mit und exportiert Chatverläufe. Das Werkzeug befindet sich laut dem Bericht bereits seit Jahren im Dauereinsatz und wird regelmäßig durch Updates aktualisiert. Um die Infrastruktur aufrechtzuerhalten und die Spionagesoftware unentdeckt verteilen zu können, nutzen Anbieter systematisch Schein- und Briefkastenfirmen. Manche dieser Konstrukte dienen dazu, die Schad-Apps als legitime Anwendungen in den offiziellen Google Play Store einzuschleusen.

Angetrieben wird diese florierende Industrie durch die hohe staatliche Nachfrage in Italien. Statistiken des Justizministeriums belegen, dass Staatsanwälte allein 2024 rund 5200 Trojaner-Infektionen autorisierten. Dieses Volumen übersteigt die Zahlen anderer EU-Länder bei Weitem und hat die Kompromittierung digitaler Endgeräte zu einer Routine-Ermittlungsmethode werden lassen.

Nach einer Entdeckung ist es für Betroffene, Rechtsanwälte oder unabhängige IT-Forensiker unmöglich herauszufinden, welches Unternehmen die Software bereitstellte, welche Behörde sie einsetzte und ob überhaupt ein gültiger Beschluss vorlag.

Grundrechte untergraben, EU in der Pflicht

Dieses System verlangt nach immer mehr Daten. Strafverfolger fordern massenhafte Infektionen zum kleinsten Preis, was zu einer Normalisierung des unbegrenzten Zugriffs auf die Privatsphäre führt. Ob der Einbruch über hochentwickelte Zero-Click-Lücken, manipulative Täuschung oder physische Installation erfolgt, wie es bei Stalkerware geschieht, macht für das Opfer keinen Unterschied. Jede Spyware bricht die Vertraulichkeit digitaler Geräte und extrahiert Fotos, Passwörter, Standorte sowie private Nachrichten.

EDRi gibt zu bedenken, dass solche Instrumente unvereinbar mit den EU-Grundrechten sowie den Prinzipien der Verhältnismäßigkeit und Notwendigkeit seien. Die Verantwortung für die unkontrollierte Verbreitung liege auch bei der EU-Kommission, deren Untätigkeit den Markt begünstige. Die Entwicklung und der Handel in Europa seien kaum reguliert, Binnenmarktregeln erlaubten den grenzüberschreitenden Vertrieb. Die EU fungiere so als globaler Knotenpunkt für Überwachungstechnologie, die weltweit zu Menschenrechtsverletzungen beitrage.

Eine wachsende Koalition aus Zivilgesellschaft und Journalistenverbänden ruft daher nach einem vollständigen EU-weiten Verbot kommerzieller Spyware. Nötig seien auch strikte Transparenzpflichten für die Mitgliedstaaten.

(nen)