24-Jähriger angeklagt Programmierer von Stalking-Software muss vor Gericht

Webcam einschalten, Tastatureingaben mitlesen und über das Mikro zuhören: In Australien ist der mutmaßliche Programmierer eines Spionagetools angeklagt worden. Dieses wurde offenbar besonders oft von Stalkern eingesetzt.
Die australische Bundespolizei AFP arbeitete mit vielen anderen Ermittlungsbehörden zusammen

Die australische Bundespolizei AFP arbeitete mit vielen anderen Ermittlungsbehörden zusammen

Foto: Lukas Coch / AAP / IMAGO

Die australischen Strafverfolgungsbehörden haben Anklage gegen einen mutmaßlichen Spyware-Programmierer erhoben, der mithilfe eines kriminellen Netzwerks ein Spionagetool an rund 14.500 Kunden in 128 Länder verkauft haben soll. Mit dem Trojaner soll der 24-Jährige bis zu 270.000 Euro verdient haben. Das teilte die australische Bundespolizei am Wochenende mit.

Seit knapp fünf Jahren arbeitet die australische Polizei unter anderem mit Ermittlern aus den USA, Kanada und Europa zusammen, um das Netzwerk hinter einer Schadsoftware namens »Imminent Monitor« zu schnappen. Mehr als zwölf Ermittlungsbehörden wie das FBI und das European Judicial Cybercrime Network haben sich an der Operation »Cepheus« beteiligt, die nun offenbar zur Folge hat, dass der Hauptverdächtige sich vor Gericht verantworten muss.

Die Software wurde offenbar häufig von Stalkern eingesetzt. Wie die australische Bundespolizei mitteilt, waren 14,2 Prozent der Käufer, die mit PayPal bezahlt hatten, in der Vergangenheit bereits wegen häuslicher Gewalt aktenkundig. Einer ist einem Kindesmissbrauchsregister eingetragen.

Wie die Polizeibehörden ermittelten, steckte hinter der Software ein ausgefeiltes Netzwerk

Wie die Polizeibehörden ermittelten, steckte hinter der Software ein ausgefeiltes Netzwerk

Foto: AUSTRALIAN FEDERAL POLICE

Dem 24-Jährigen wird unter anderem vorgeworfen, die Software mit der Absicht entwickelt und verbreitet zu haben, eine Straftat zu begehen und damit Geld zu verdienen. Für diese Taten droht dem Mann eine Höchststrafe von 20 Jahren im Gefängnis. In knapp drei Wochen muss der 24-Jährige vor Gericht erscheinen. Angeklagt ist zudem eine 42-jährige Frau aus demselben Haushalt, die mit dem Verkauf des Trojaners mehr als 100.000 australische Dollar erwirtschaftet haben soll. Auch ihr drohen bis zu 20 Jahre Haft.

Weltweite Ermittlungen führen zum Erfolg

Im November 2019 gelang den Ermittlern der erste Schlag gegen das kriminelle Netzwerk. Weltweit wurden 13 Personen verhaftet, 85 Haftbefehle erlassen und mehr als 400 Geräte wie Laptops, Smartphones und Server beschlagnahmt. Auch die Wohnung des 24-Jährigen in Brisbane wurde damals durchsucht. Die Ermittler beschlagnahmten einen Computer, der Code enthielt, der zum Trojaner gepasst habe, wie es im Polizeibericht heißt.

Der Remote-Access-Trojaner soll seit 2012 im Umlauf sein, der Angeklagte soll das Tool bereits im Alter von 15 Jahren programmiert haben. »Imminent Monitor« wurde in den folgenden Jahren für etwa 25 Euro im Internet angeboten. Der Trojaner soll in Hackerforen beworben worden sein, wo sogar Business-Versionen für bis zu 30 Rechner für 100 Euro zum Verkauf standen.

Bis heute sind Ableger der Software im Netz zu finden. »Imminent Monitor« gibt Angreifern fast die vollständige Kontrolle über einen befallenen Windows-Rechner. Sobald der Trojaner auf dem Rechner eines Opfers installiert ist, können Kriminelle persönliche Daten abgreifen, die Webcam übernehmen und über das Mikro mithören.

Eingeschleust über Phishing-Mails

Die Spyware erfasst auch Tastatureingaben, um mitzulesen, was in E-Mails und Chatnachrichten geschrieben wird. Die Opfer bekommen davon in der Regel nichts mit. Eingeschleust wird das Tool zum Beispiel dadurch, dass ein Opfer auf einen Link klickt, der mit einer Phishing-Mail verschickt wird. Wenn die Täter Zugang zu dem Rechner hatten, konnten sie ihn auch mit einem USB-Stick infizieren.

Das US-Sicherheitsunternehmen Palo Alto Networks hatte die australische Polizei bei der Suche nach dem Programmierer unterstützt. Den Untersuchungen zufolge sollen die Täter die Software unter Decknamen wie Shockwave, imminentmethods und ViridianX im Netz verbreitet haben. Als Profilbild wählten sie einen Panda in Hemd und Sacko. Bis zum Jahr 2019 soll es allein auf Kunden von Palo Alto Networks mehr als 115.000 Angriffe mit der Software gegeben haben.

Die Wiedergabe wurde unterbrochen.