De Amerikaanse burgerrechtenorganisatie EFF heeft samen met een beveiligingsbedrijf een spionagecampagne ontdekt die als chatapps vermomde Android-malware inzet om gevoelige gegevens te stelen. Dat gebeurde in meer dan twintig landen.
De EFF schrijft dat de campagne 'honderden gigabytes aan data van duizenden mensen heeft gestolen', onder meer in Nederland, Duitsland, Frankrijk en de VS. De campagne zou het werk kunnen zijn van een partij die opereert namens een land. Deze heeft van de EFF en beveiligingsbedrijf Lookout de naam Dark Caracal gekregen. Lookout heeft aanwijzingen gevonden dat de partij opereert vanuit een gebouw in Beiroet, dat toebehoort aan de Libanese inlichtingendienst. Dark Caracal zou sinds 2012 actief zijn en gebruikt naast mobiele malware, waaronder een FinFisher, ook desktopvarianten voor Windows, macOS en Linux.

In een uitgebreider rapport gaat Lookout nader in op zijn bevindingen en schrijft het dat de Android-malware, genaamd Pallas, buiten de Play Store om wordt verspreid door middel van phishingberichten die verwijzen naar een downloadpagina voor Android-apps, oftewel een zogenaamd watering hole. Daar troffen doelwitten chatapps aan, zoals WhatsApp, Telegram, Threema en Signal. Deze hadden dezelfde functionaliteit als hun legitieme versies. Door gebruik te maken van uitgebreide permissies waren ze echter in staat om gevoelige gegevens te stelen, die vervolgens naar een Dark Caracal-server werden gestuurd.
Volgens Lookout maken die apps geen gebruik van zerodays en leunen ze daardoor voornamelijk op de permissies. Theoretisch kan de malware rootrechten verkrijgen, maar daarvoor vond het bedrijf geen aanwijzingen in de vorm van packages in de infrastructuur van Dark Caracal. De Pallas-malware is onder meer in staat om foto's te maken, berichten en contacten te stelen, de gps-positie te bepalen, audio op te nemen en inloggegevens te stelen via phishingsites, die als pop-ups verschijnen.
In het rapport vermeldt Lookout dat de EFF al eerder een deel van de gebruikte infrastructuur had ontdekt in relatie tot een andere campagne. Het bedrijf zegt dat het zijn bevindingen aan de hand van analyse van deze infrastructuur heeft verkregen, maar zegt niet of het daadwerkelijk toegang had tot bijvoorbeeld de c2-servers. Door de analyse kon het enkele testtoestellen identificeren die misschien werden gebruikt om de malware te testen. Deze leken op elkaar door de aanwezige software en andere informatie. Een op die testtoestellen aanwezig wifinetwerk wees naar het eerdergenoemde gebouw in Beiroet, samen met gebruikte ip-adressen en whois-informatie. De directeur van de Libanese inlichtingendienst zegt tegen Reuters dat zijn dienst deze mogelijkheden niet heeft. "We mochten willen dat we deze mogelijkheden hadden."
