Sicherheitsforscher des Chaos Computer Clubs (CCC) haben insgesamt 28 Exemplare der Spionage-Software FinSpy für Android aus den Jahren 2012 bis 2019 analysiert. Hauptaugenmerk der Untersuchung waren die Herkunft der Schadsoftware und das Datum ihrer Herstellung. Anlass der Untersuchung ist die Strafanzeige der Gesellschaft für Freiheitsrechte (GFF) und weiterer Organisationen gegen die deutsche Firmengruppe FinFisher wegen des vorsätzlichen Verstoßes gegen Genehmigungspflichten für Dual-Use-Software gem. § 18 Abs. 2 Nr. 1 und § 18 Abs. 5 Nr. 1 Außenwirtschaftsgesetz (AWG).

Der CCC veröffentlicht heute seinen umfassenden Bericht: Evolution einer privatwirtschaftlichen Schadsoftware für staatliche Akteure

• Ergebnis der Analyse ist, dass ein Schadsoftware-Exemplar, das laut GFF im Jahr 2016 gegen die türkische Oppositionsbewegung eingesetzt wurde, eindeutig nach dem Inkrafttreten der EU-Exportkontrollvorschriften für Überwachungssoftware erstellt wurde.
• Durch den Vergleich mit über zwanzig weiteren Exemplaren aus einem Zeitraum von sieben Jahren zeigt der CCC eine Kontinuität in der Weiterentwicklung auf, in die sich dieses Exemplar einfügt. Dies wird als starker Hinweis gewertet, dass es sich um eine Variante des Staatstrojaners „FinSpy“ handelt. FinSpy ist ein Produkt der Firmengruppe FinFisher, die unter anderem in München Niederlassungen unterhält.
• In seinem Bericht dokumentiert der CCC auch Hinweise auf deutschsprachige Entwickler, die sich im Quellcode finden lassen.

„Unsere Analyse zeigt, dass eine ursprünglich aus Deutschland stammende Überwachungssoftware offenbar gegen demokratische Dissidenten eingesetzt wurde“, sagte Linus Neumann, einer der Autoren der Analyse. „Wie es dazu kommen konnte, müssen Staatsanwaltschaft und Zollkriminalamt nun aufklären.“

Sowohl das Bundeskriminalamt als auch Landeskriminalämter sind Nutzer der FinSpy-Produkte. „Wir fordern die Ermittlungsbehörden auf, unsere Analyse an ihren Exemplaren der Spionagesoftware nachzuvollziehen. Wir stehen bei Rückfragen gern zur Verfügung“, sagte CCC-Sicherheitsforscher Thorsten Schröder, Autor der Analyse.

Nach der heutigen Veröffentlichung des Berichts werden die Befunde auch am Sonntag auf dem Chaos Communication Congress (36C3) in Leipzig präsentiert. Der Vortrag kann im Live-Stream verfolgt werden und ist anschließend unter media.ccc.de verfügbar.

Neben dem vollständigen Bericht und den genutzten Analyse-Werkzeugen veröffentlicht der CCC sämtliche Schadsoftware-Exemplare und Zwischenergebnisse. Darunter befinden sich auch Varianten des Staatstrojaners, die bisher öffentlich nicht zugänglich waren.

Wir laden die deutsche und internationale Forschungsgemeinschaft ein, unsere Ergebnisse und Schlüsse kritisch zu prüfen, zu ergänzen und – falls nötig – zu korrigieren.

• Bericht: Evolution einer privatwirtschaftlichen Schadsoftware für staatliche Akteure – FinFisher FinSpy für Android 2012-2019 (60 Seiten PDF, ~3MB)
• FinSpy-Tools: Werkzeuge für die Analyse von Android-basierten FinSpy-Samples
• FinSpy-Dokumentation: Dokumentation der Analysen einzelner Komponenten der FinSpy-Schadsoftware, Extrakte, Samples und Helfer-Scripte