Smartphones wereldwijd zijn stilletjes via advertenties geïnfecteerd met de Predator-spyware, waarbij alleen het te zien krijgen van een besmette advertentie genoeg was. Vervolgens hadden aanvallers toegang tot de camera, microfoon, gesprekken in chatapps, e-mails, gps-gegevens, foto's en andere bestanden en bezochte websites, om slachtoffers zo uitgebreid te kunnen bespioneren. Dat meldt Amnesty International op basis van onderzoek.

Voor het stilletjes infecteren van Androidtelefoons en iPhones was geen enkele interactie van slachtoffers vereist. De advertenties maakten misbruik van kwetsbaarheden in onder andere Android, iOS en Google Chrome, aldus Google. De Predator Spyware wordt ontwikkeld door het bedrijf Intellexa dat het aan allerlei overheden aanbiedt. Voor het infecteren van slachtoffers werd in eerste instantie gebruikgemaakt van links die bijvoorbeeld via chatapps werden verstuurd. Slachtoffers moesten dan zelf nog op de link klikken om met de spyware besmet te raken.

Uit gelekte informatie blijkt dat Intellexa ook over andere mogelijkheden beschikt. Zo kunnen overheidsdiensten in samenwerking met de internetprovider van het slachtoffer de malafide code in onversleuteld http-verkeer injecteren, die vervolgens op het toestel wordt uitgevoerd. Een andere mogelijkheid is het injecteren van de code in verkeer naar binnenlandse https-websites waarvoor de Intellexa-klant een geldig tls-certificaat heeft. Volgens Amnesty zijn deze aanvallen echter steeds lastiger uit te voeren omdat meer websites via https worden aangeboden.

Pagina uit gelekte brochure van Intellexa

De gevaarlijkste verspreidingsmethode is het gebruik van advertenties, waarvoor Intellexa een systeem genaamd "Aladdin" heeft ontwikkeld. De advertenties maken misbruik van kwetsbaarheden waar op het moment van de aanval geen update voor beschikbaar is. Het gaat hier om zogenoemde zero-click exploit, waarbij alleen het getoond krijgen van een advertentie voldoende is om besmet te raken. Daarbij kan de aanval zeer gericht worden uitgevoerd. Via een bekend advertentie-ID, e-mailadres, geografische locatie of ip-adres van het slachtoffer kunnen de besmette advertenties worden getoond.

Advertentienetwerken bieden klanten allerlei mogelijkheden om zeer gericht te adverteren. Volgens Google en Amnesty International heeft Intellexa allerlei bedrijven opgericht om het advertentie-ecosysteem te infiltreren, zo stellen ze. Onderzoekers, onder andere van securitybedrijf Recorded Future, stellen dat de spyware mede in Europese landen is ingezet. Zo zouden journalisten, politici, zakenmensen en publieke figureren slachtoffer zijn geworden. Amnesty stelt op basis van een gelekte trainingsvideo van Intellexa dat het bedrijf ook toegang lijkt te hebben tot de informatie die klanten via de Predator-spyware verkrijgen.

Screenshot van gelekt document over het Aladdin-systeem