De iPhone van een vooraanstaande Angolese journalist is in 2024 geinfecteerd geraakt met de Predator-spyware, waardoor aanvallers onbeperkte toegang tot het toestel hadden, zo stelt Amnesty International op basis van eigen onderzoek naar het apparaat. Van april tot en met juni 2024 ontving de journalist van een onbekend Angolees telefoonnummer verschillende berichten via WhatsApp.

De aanvaller deed zich voor als vertegenwoordiger van een groep jonge studenten die geïnteresseerd is in de sociaaleconomische ontwikkeling van Angola. Daarbij gebruikte de aanvaller een veelvoorkomende Angolese naam voor zijn WhatsApp-profiel. De eerste berichten van de aanvaller waren niet voorzien van een link, maar na een aantal dagen stuurde de aanvaller steeds meer berichten met malafide links, die naar zogenaamde nieuwsberichten of onschuldige websites leken te wijzen.

Op 4 mei opende de journalist één van de links, waarna zijn iPhone met de Predator-spyware besmet raakte, aldus de onderzoekers van Amnesty. Eerder lieten onderzoekers van Citizen Lab en Google weten dat de Predator-spyware is verspreid via kwetsbaarheden in onder andere Google Chrome en iOS waar op het moment van de aanval nog geen updates voor beschikbaar waren. De iPhone van de journalist draaide op 4 mei 2024 een bijna twee jaar oude versie van iOS, vol met bekende kwetsbaarheden. Het is echter onduidelijk via welke kwetsbaarheid de spyware binnenkwam.

Eenmaal actief kan de Predator-spyware berichten van WhatsApp, Signal en andere chatapps stelen, audio van telefoongesprekken opnemen, e-mails stelen, de gps-locatie van het slachtoffer aan de aanvallers doorgeven, screenshots maken, de camera en microfoon inschakelen om zo de omgeving van het slachtoffer te bespioneren, wachtwoorden stelen en andere informatie en bestanden van het toestel buitmaken.

In een directory van de iPhone vonden onderzoekers sporen van de spyware. Volgens Amnesty is het de eerste keer dat er forensisch is vastgesteld dat de Predator-spyware tegen de burgermaatschappij in Angola is ingezet. De spyware-infectie duurde minder dan een dag, omdat die werd verwijderd nadat de iPhone was herstart. Vervolgens probeerden de aanvallers elf keer om het toestel via nieuwe infectie-links opnieuw te besmetten, maar deze pogingen lijken onsuccesvol te zijn geweest, aangezien de journalist de links niet opende.

Amnesty International zegt dat het de aanval op de journalist niet aan een bepaalde overheid kan toeschrijven. Wel laat de aanval volgens de mensenrechtenorganisatie zien dat de ongecontroleerde verkoop en gebruik van surveillancetechnologieën mensenrechtenschendingen op wereldwijde schaal blijven faciliteren. Eind vorig jaar verscheen het nieuws dat smartphones wereldwijd stilletjes via advertenties met de Predator-spyware geïnfecteerd zijn, waarbij alleen het te zien krijgen van een besmette advertentie genoeg was.