"Es ist widerlich": Hacker bricht in Apps ein, mit denen sich Partner ausspionieren können

Ein Hacker ist in die Systeme zweier Unternehmen eingebrochen, die Spyware für Privatpersonen anbieten. Nicht selten stalken und spionieren die Kunden mit der Software ihre Partner aus – legal ist das natürlich nicht. Der anonyme Hacker hat Motherboard nun eine große Menge Daten zukommen lassen: Gigabytes voller Kundendaten, mutmaßlicher Geschäftsdaten und abgefangenen Textnachrichten von Menschen, die von der Malware überwacht wurden.

Es ist etwa ein Jahr her, dass Motherboard über die Hacks zweier anderer Stalkerware-Firmen berichtete, die auch bei deutschen Kunden beliebt waren: FlexiSpy und Retina-X. Erst vor Kurzem fegte ein Hacker ein weiteres Mal die Server von Retina-X leer. Keine Frage: Die umstrittene Branche der Spionage-Software ist vor allem bei Hackern nicht besonders beliebt.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

"Jemanden durch seine privaten Geräte auszuspionieren ist an und für sich schon schlimm – Privatsphäre ist ein fundamentales Menschenrecht", schrieb Eva Galperin, Cybersecurity-Direktorin der Electronic Frontier Foundation, Motherboard in einer Textnachricht. "Missbraucht man dieses Recht, kann das Stalking, Belästigung und häuslicher Gewalt Tür und Tor öffnen."

Die beiden gehackten Unternehmen, Mobistealth und Spy Master Pro, verkaufen Überwachungssoftware für Android- und iPhone-Geräte. Um sie auf dem Smartphone zu installieren, braucht der Angreifer kurz direkten Zugriff auf das Gerät. Die Malware kann anschließend Facebook-Chats und Nachrichten von einem Haufen anderer Apps abfangen, den GPS-Standort des Zielgeräts verfolgen und im Fall von Mobistealth auch das Mikro des Geräts einschalten.

In den Daten, die durch den Hack geleakt wurden, sind auch Zehntausende Kundenkonten. Motherboard konnte mehrere Accounts verifizieren, indem wir erfolgreich mit den jeweiligen Usernamen das Passwort zurücksetzten. Außerdem haben wir Menschen aus dem Daten-Dump kontaktiert und ließen uns vom jeweiligen Kundenservice bestätigen, dass die entsprechenden E-Mail-Adressen den Spyware-Unternehmen bekannt waren.

Weder Mobistealth noch Spy Master Pro haben auf wiederholte Interviewanfragen von Motherboard reagiert.

Die Daten von Spy Master Pro enthalten außerdem einen Haufen älterer GPS-Standorte infizierter Handys, die sich allerdings nicht verifizieren ließen. Hinzu kommen Tausende mutmaßliche Textnachrichten, die allerdings oft nur wenige Rückschlüsse auf den Kontext zuließen, in dem sie verschickt worden waren. Nichtsdestotrotz zeigen sie, was für private und persönliche Momente derartige Malware zu Tage fördern kann.

"Wenn du eine Therapie willst, dann machen wir eine Therapie und das erste, was angesprochen wird, sind deine Affären", steht in fehlerhaftem Englisch in einer dieser abgefangenen Textnachrichten.

"Du bist fremdgegangen….smh…..", heißt es in einer anderen.

Es gibt tatsächlich einige wenige Fälle, in denen die heimliche Installation solcher Software legal sein kann: zum Beispiel zur Überwachung der eigenen Kinder in nicht geschäftsfähigem Alter. Und tatsächlich scheinen auch einige der mutmaßlichen Textnachrichten von Kindern verfasst worden zu sein, die über Probleme in der Schule sprechen. Ein Mobistealth-Kunde sagte auch, dass er die Software ausprobiert hätte, als er mit dem Gedanken spielte, sein Kind mit einem Handy auszustatten. Aber beide gehackten Unternehmen preisen ihre Malware auch mit dem Versprechen an, dass man damit seinen Partner ausspionieren kann. Eine derartige Verwendung ist jedoch eindeutig illegal.

"Misstrauen Sie dem Verhalten ihres Partners oder Partnerin? Wollen Sie sichergehen, dass die Person, die Sie lieben, treu ist oder nicht? Nun, wenn ja, dann ist Handy-Überwachungs-Software alles, was Sie jetzt brauchen", heißt es in holprigem Englisch in einem Spy Master Pro-Blogpost zum Valentinstag. Mobistealth wiederum preist in einem inzwischen anscheinend wieder gelöschten Blogeintrag an, welche Vorteile es hat, den Ehepartner auszuspionieren – an anderer Stelle bezeichnen sie die Praxis wiederum als eindeutig illegal (ebenfalls gelöscht). Als Motherboard sich vergangenes Jahr als potenzieller Kunde ausgab, sagte ein Mitarbeiter des Mobistealth-Kundenservices, dass er mit der Software seine Frau ausspionieren könne.

Ebenfalls auf Motherboard: Totalüberwachung für 150 Euro

Journalistische Recherchen, Gerichtsprozesse und Befragungen in Frauenhäusern haben wiederholt Zusammenhänge zwischen solcher Malware und Fällen häuslicher Gewalt, Überwachung und Stalking gefunden. Die Vermarktung von Software, die eine Mischung aus körperlichem und digitalen Missbrauch bedient, ist einer der Gründe, warum besagter Hacker laut eigener Aussage diese Firmen angegriffen hat.

"Es ist widerlich, wie einfach zugänglich und benutzerfreundlich solche Seiten sind", sagte der anonymer Hacker gegenüber Motherboard in einem Online-Chat, "und dass sie Stalking und körperlichen und emotionalen Missbrauch in so einem Maße ermöglichen."

Nun hat sich ein weiteres Mal gezeigt, dass die Dienste der Spionageunternehmen nicht nur gefährlich, sondern auch sehr unsicher sind.