Vandaag kwam Amnesty International met een rapport over aanvallen met de Predator-spyware en hoe die is ingezet tegen journalisten, politici en academici. De makers doen echter uitgebreid de moeite om te voorkomen dat ze telefoons in Israël of de Verenigde Staten infecteren of die van onderzoekers. Dat stellen onderzoekers van Citizen Lab, die in het verleden vaker onderzoek naar deze spyware deden en de bevindingen van Amnesty bevestigen.

Predator werd eind 2021 voor het eerst door onderzoekers van Citizen Lab aangetroffen en is te vergelijken met de beruchte Pegasus-spyware. Eenmaal actief op een telefoon, waarvoor vaak zeroday-exploits worden gebruikt, kan Predator gesprekken die via de microfoon, oordopjes en voip worden gevoerd afluisteren. Ook kan de spyware eigen certificaten voor certificaatautoriteiten aan de certificaatstore toevoegen, waardoor het mogelijk is om TLS-verkeer binnen de browser te ontsleutelen.

Verder kan Predator willekeurige code op het systeem uitvoeren, bepaalde applicaties verbergen of voorkomen dat die bij een herstart van de telefoon worden geladen. Tevens verzamelt Predator allerlei informatie over de besmette telefoon, zoals adresboek en gespreksgeschiedenis. Onderzoekers van Cisco denken dat de spyware ook in staat is om de camera in te schakelen, geolocatiegegevens te verzamelen en het kan doen lijken alsof de telefoon is uitgeschakeld, terwijl die in werkelijkheid nog actief is.

Voordat de spyware wordt geïnstalleerd vindt er eerst een uitgebreide controle plaats, die moet voorkomen dat een telefoon wordt besmet die door onderzoekers in de gaten wordt gehouden. Zo wordt gecontroleerd of het systeemlog actief wordt gemonitord. Ook als de landcode op Israël of Verenigde Staten staat vindt de installatie niet plaats. De Predator-installatie wordt ook niet op gejailbreakte iPhones uitgevoerd, wat ook het geval is wanneer de gebruiker een proxy voor het internetverkeer heeft ingesteld. Als laatste wordt de installatie gestopt als blijkt dat er aanvullende rootcertificaten zijn geïnstalleerd waarmee onderzoekers het verkeer van de telefoon zouden kunnen onderscheppen.

Predator is ontwikkeld door een bedrijf genaamd Intellexa. "De betrokkenheid van hooggeplaatste Europese zakenmensen en politici bij deze ondernemingen toont aan waarom regelgeving van de spywaremarkt zo lastig te bereiken is. Zo zouden de Duitse inlichtingendiensten klanten van Intellexa zijn", aldus Citizen Lab. Duitsland doet ook niet mee aan de groep landen die onlangs beloofde om de verspreiding en misbruik van commerciële spyware gezamenlijk aan te pakken.