Bij een wereldwijde spionagecampagne zijn duizenden mensen in meer dan 20 landen met malware besmet geraakt en hebben aanvallers honderden gigabytes aan data gestolen, zo blijkt uit onderzoek van de Amerikaanse burgerrechtenbeweging EFF en securitybedrijf Lookout.

De aanvallers maakten met name gebruik van getrojaniseerde Android-apps zoals Signal en WhatsApp. Deze getrojaniseerde apps functioneerden als de legitieme apps, maar gaven aanvallers ook de mogelijkheid om foto's te nemen, locatiegegevens op te vragen, audio op te nemen, documenten, intellectueel eigendom, contacten en sms-berichten te stelen, wifi-namen te achterhalen en meer. De aanvallers achter de campagne hadden de gestolen data echter niet afgeschermd, waardoor die voor de EFF en Lookout toegankelijk was en kon worden geanalyseerd.

Om de Android-malware te installeren werd er gebruik gemaakt van social engineering en fysieke toegang. Zo plaatsten de aanvallers links op social media die naar de getrojaniseerde apps wezen. Geen van de besmette apps werd in de Google Play Store aangeboden. De aanvallers hadden het voorzien op militair personeel, activisten, journalisten en advocaten in de Verenigde Staten, Canada, Duitsland, Libanon en Frankrijk.

Volgens de EFF en Lookout is de spionagecampagne, die de naam Dark Caracal heeft gekregen, sinds 2012 actief. Naast Android-malware maakten de aanvallers ook gebruik van Java-malware om Linux-, Mac- en Windows-systemen aan te kunnen vallen. De nadruk zou echter op Android-apparaten liggen. Zowel de EFF als Lookout stellen dat de campagne is uitgevoerd vanuit een gebouw dat van de Libanese geheime dienst is. Google heeft inmiddels updates voor de in Android ingebouwde virusscanner Google Play Protect uitgerold, om zo de malware van Android-toestellen te verwijderen.