Forscher warnen vor einer bisher unentdeckten Überwachungsspionage-Software namens NoviSpy, die auf dem Telefon eines serbischen Journalisten gefunden wurde.
Im Februar 2024 wurde der serbische Journalist Slaviša Milanov nach einer routinemäßigen Verkehrskontrolle auf eine Polizeistation vorgeladen. Nachdem die Polizei ihn freigelassen hatte, bemerkte Milanov verdächtige Änderungen an den Einstellungen seines Telefons, z. B. die Deaktivierung von Daten und Wi-Fi. Daraufhin bat er das Security Lab von Amnesty International um Hilfe, da er befürchtete, wie andere Journalisten in Serbien Ziel einer Überwachungssoftware zu sein.
Amnesty International hat bei der Untersuchung des Falls von Milanovs Telefon zwei beunruhigende Entdeckungen gemacht. Erstens zeigten forensische Spuren, dass die serbische Polizei ein Cellebrite-Tool verwendet hat, um sein Gerät zu entsperren und Daten zu extrahieren, ohne ihn zu informieren, eine rechtliche Genehmigung einzuholen oder den Zweck der Durchsuchung offenzulegen. Zweitens ergab die Analyse eine bisher unentdeckte Spyware namens "NoviSpy", die personenbezogene Daten extrahieren und das Mikrofon oder die Kamera des Geräts aktivieren kann und während des Besitzes des Telefons durch die Polizei installiert wurde. Der Einsatz der Spyware stützte sich auf den Entsperrungsprozess von Cellebrite und kombinierte zwei invasive Technologien, um die digitale Privatsphäre des Journalisten umfassend zu beeinträchtigen.
NoviSpy kann sensible Daten von kompromittierten Android-Geräten extrahieren, darunter Screenshots, Standortdaten, Audioaufnahmen, Dateien und Fotos. Die Malware wird über das Befehlszeilenprogramm Android Debug Bridge (adb) bereitgestellt.
NoviSpy-Spyware-Proben von Geräten, die von Amnesty analysiert wurden, wurden von C2-Servern in Serbien kontrolliert. Die Experten entdeckten auch, dass eine Spyware-Konfiguration mit einem IP-Bereich verbunden war, der mit dem serbischen Geheimdienst BIA und einem bestimmten BIA-Mitarbeiter in Verbindung steht, der in der Vergangenheit mit der Beschaffung von Spyware zu tun hatte. Die Beweise, einschließlich der Installation der Spionagesoftware während der BIA-Befragungen, führen diese Überwachungskampagnen mit hoher Wahrscheinlichkeit auf die BIA und die serbische Regierung zurück.
Die serbischen Behörden nutzten die Cellebrite-Extraktionssuite auch ausgiebig und unrechtmäßig, um persönliche Daten von den Telefonen von Journalisten und Protestorganisatoren herunterzuladen.
"In mindestens zwei von Amnesty International dokumentierten Fällen wurden das Cellebrite UFED-Produkt und die damit verbundenen Exploits verwendet, um die Sicherheitsfunktionen von Telefonen zu umgehen und es den serbischen Behörden zu ermöglichen, die Geräte mit NoviSpy-Spionagesoftware zu infizieren. Diese verdeckten Infektionen, die auch während Befragungen durch die Polizei oder die BIA stattfanden, waren nur möglich, weil fortschrittliche Technologien wie Cellebrite UFED die Verschlüsselung der Geräte umgehen können", heißt es in dem von Amnesty veröffentlichten Bericht. "Während Aktivisten seit langem ihre Besorgnis über Spyware-Infektionen während polizeilicher Befragungen geäußert haben, ist Amnesty International der Ansicht, dass dieser Bericht die ersten forensisch dokumentierten Spyware-Infektionen beschreibt, die durch den Einsatz der mobilen forensischen Technologie von Cellebrite ermöglicht wurden."
Das Sicherheitslabor von Amnesty International entdeckte auch, dass das Extraktionstool Cellebrite UFED eine Qualcomm Multiple Chipsets Use-After-Free Zero-Day-Schwachstelle CVE-2024-43047 ausnutzte, die Google im November gepatcht hat. Durch eine gemeinsame Anstrengung von Amnesty International und Google konnte die Schwachstelle durch die Analyse von forensischen Protokollen identifiziert werden, die auf dem Telefon eines von der serbischen Polizei verhafteten Protestorganisators gefunden wurden.
Weitere Ziele der NoviSpy-Spionagekampagne waren der Aktivist Nikola Ristić, der Umweltaktivist Ivan Milosavljević Buki und ein nicht genannter Aktivist von Krokodil, einer in Belgrad ansässigen NRO.
Zum gegenwärtigen Zeitpunkt ist die Herkunft von NoviSpy noch unklar. Möglicherweise wurde es intern von den serbischen Behörden entwickelt oder von einem dritten Überwachungsanbieter gekauft. Die Entwicklung geht mindestens bis 2018 zurück.
"Der Bericht hebt auch neue Überwachungstaktiken hervor, darunter den weit verbreiteten Einsatz invasiver digitaler forensischer Werkzeuge, um Daten von friedlichen Demonstranten zu sammeln, die keiner Straftat angeklagt sind", heißt es in dem Bericht weiter. "Da Sicherheitsverbesserungen Zero-Click- und andere Spyware-Angriffe aus der Ferne unerschwinglich oder undurchführbar machen, könnten die Behörden zunehmend dazu übergehen, Geräte mit Spyware zu infizieren, indem sie sich physischen Zugang zu einem Gerät verschaffen. Einige Staaten haben sogar spezielle Gesetze vorgeschlagen, um heimliche Einbrüche in Wohnungen zu ermöglichen, um Geräte mit gezielter Spyware zu infizieren."
Die serbische Polizei bezeichnete den Amnesty-Bericht als "absolut falsch".
"Die serbische Polizei sagte in einer Erklärung, dass der Amnesty-Bericht "absolut falsch" sei, fügte aber hinzu, dass "das forensische Werkzeug von anderen Polizeikräften auf der ganzen Welt auf die gleiche Weise verwendet wird", berichtete die Associated Press.
"Serbien muss sich verpflichten, den Einsatz hochgradig invasiver Spionagesoftware unverzüglich einzustellen und alle dokumentierten und gemeldeten Fälle unrechtmäßiger digitaler Überwachung unverzüglich, unabhängig und unparteiisch zu untersuchen", heißt es in dem Bericht abschließend. "Es muss auch konkrete Schritte unternehmen, um sicherzustellen, dass digitale Technologien nicht zur Verletzung der Menschenrechte missbraucht werden, indem es einen Rechtsrahmen einführt und konsequent durchsetzt, der sinnvolle Verfahrensgarantien, wirksame Kontroll- und Aufsichtssysteme durch gerichtliche Überprüfung und wirksame Mechanismen zur Wiedergutmachung für die Opfer bietet."
