Der Cybersicherheitsexperte Erik Daigle hat eine gravierende Sicherheitslücke in der Android-Anwendung Catwatchful aufgedeckt, die als Parental-Control-Tool vermarktet wird, tatsächlich aber eine vollwertige Spionage-Software darstellt. Die Schwachstelle führte zur Kompromittierung persönlicher Daten von mehr als 62.000 Nutzern, einschließlich unverschlüsselter Anmeldedaten.
Funktionsweise der Catwatchful-Stalkerware
Catwatchful repräsentiert eine typische Stalkerware-Anwendung, die als legitime Überwachungslösung getarnt wird. Die Software ermöglicht Angreifern umfassende Möglichkeiten zur verdeckten Überwachung von Zielgeräten in Echtzeit.
Das Funktionsspektrum umfasst kritische Überwachungsfeatures wie die Einsicht in sämtliche Geräteinhalte, Mikrofonaktivierung für Audioaufzeichnungen, Kamerazugriff für Foto- und Videoaufnahmen, Messenger-Überwachung und kontinuierliche Standortverfolgung. Die Entwickler bewarben explizit die versteckte Arbeitsweise ihrer Software mit dem Versprechen unsichtbarer und nicht detektierbarer Funktionalität.
Technische Implementierung der Überwachung
Die Installation von Catwatchful erfordert physischen Zugang zum Zielgerät. Nach der Systemregistrierung erhalten Nutzer eine vorkonfigurierte APK-Datei mit individuellen Zugangsdaten. Die installierte Anwendung arbeitet im Hintergrund und überträgt gesammelte Informationen an eine Firebase-Datenbank, wobei der Zugriff auf gestohlene Daten über ein Web-Dashboard erfolgt.
Analyse der kritischen Sicherheitslücke
Bei der Untersuchung der Anwendungsarchitektur identifizierte der Sicherheitsexperte eine kritische SQL-Injection-Schwachstelle. Das Hauptproblem bestand in der fehlenden Authentifizierung für die Anwendungs-API, wodurch unbefugte Nutzer direkten Datenbankzugriff erlangen konnten.
Die Ausnutzung dieser Vulnerabilität gewährte Zugang zu sensiblen Daten aller 62.050 registrierten Benutzerkonten, einschließlich Klarnamen-Anmeldedaten, Gerätezuordnungen und persönlichen Informationen von über 26.000 Opfergeräten. Zusätzlich wurden auch die persönlichen Daten des Anwendungsentwicklers kompromittiert.
Geografische Verteilung und Auswirkungsbereich
Die Analyse der kompromittierten Daten zeigt eine Konzentration betroffener Geräte in lateinamerikanischen und asiatischen Ländern. Die höchste Opferanzahl wurde in Mexiko, Kolumbien, Indien, Peru, Argentinien, Ecuador und Bolivien verzeichnet.
Besonders alarmierend ist die Tatsache, dass einige Geräte bereits seit 2018 mit Catwatchful infiziert waren, was auf eine mehrjährige unrechtmäßige Datensammlung hinweist.
Identifizierung des Entwicklers
Durch die Sicherheitslücke konnte die Identität des Stalkerware-Entwicklers ermittelt werden. Omar Sok Charkov aus Uruguay wurde als Urheber der Spionage-Software identifiziert, wobei seine Kontaktdaten ebenfalls in der kompromittierten Datenbank gefunden wurden.
Schutzmaßnahmen und Gegenreaktionen
Nach der Veröffentlichung der Forschungsergebnisse implementierte Google zusätzliche Schutzfunktionen in Play Protect zur Warnung vor Catwatchful-Erkennungen. Der ursprüngliche Hosting-Provider blockierte das regelwidrige Konto, jedoch verlagerten die Entwickler ihre API-Infrastruktur zu einem anderen Anbieter, was ihre Absicht zur Fortsetzung illegaler Aktivitäten demonstriert.
Erkennungsmethode für betroffene Nutzer
Entgegen den Entwicklerbehauptungen über die Nicht-Detektierbarkeit können Android-Nutzer ihre Geräte selbständig auf Catwatchful-Infektionen überprüfen. Die Eingabe der Kombination „543210“ mit anschließendem Anrufknopf aktiviert eine eingebaute Backdoor-Funktion, die das Vorhandensein der Stalkerware zwangsweise offenlegt.
Dieser Vorfall verdeutlicht die erheblichen Risiken im Zusammenhang mit Stalkerware-Anwendungen. Unzureichende Sicherheitsmaßnahmen in derartiger Software gefährden nicht nur die Privatsphäre der Überwachungsopfer, sondern setzen auch die Stalkerware-Nutzer selbst Sicherheitsrisiken aus. Regelmäßige Sicherheitsupdates und Bewusstsein für Malware-Erkennungsmethoden bleiben essentiell für den Schutz vor derartigen Bedrohungen.
