Nachrichten, Anrufe, Kontakte zu Quellen – auf all diese sensiblen Informationen hatte eine Spyware auf dem Handy des Journalisten Teixeira Candido Zugriff. Der regimekritische Medienschaffende arbeitet für Jornal de Angola, die älteste Tageszeitung Angolas, und war jahrelang Generalsekretär der Journalistenvereinigung „The Syndicate of Angolan Journalists“ (SJA). Durch eine Untersuchung des Security Labs von Amnesty international und Reporter ohne Grenzen (RSF) wurde bekannt, dass sein Telefon im Mai 2024 mit der hochinvasiven Predator-Spyware infiziert wurde. Die Spionagesoftware wurde von dem nordmazedonischen Unternehmen Cytrox entwickelt, welches wiederum von der Intellexa-Gruppe vertrieben wird. Weder die Angreifer*innen noch die Auftraggeber*innen konnten bisher identifiziert werden.
„Dieser Angriff zeigt, dass die Exportkontrolle von Spyware immer noch nicht funktioniert.“, sagt sagt DSL-Leiter und IT-Sicherheitsexperte Viktor Schlüter. „Wir rufen gefährdete Journalist*innen dazu auf, ihre Geräte bei uns überprüfen zu lassen: Nur wenn Spywareangriffe erkannt werden, kann man die Täter zur Rechenschaft ziehen.“
Es handelt sich um den ersten offiziell bekannten Fall in Angola, in dem ein Journalist oder ein Mitglied der Zivilgesellschaft Ziel dieser Spyware wurde. Der technische Bericht zeigt genau auf, wie die Spionagesoftware auf Candidos Gerät auftauchte: Der Journalist hatte auf einen schädlichen Link geklickt, der ihm von einer unbekannten Person über WhatsApp zugesendet worden war. Teixeira Candido erinnert sich an den Tag so: „Die Person stellte sich zunächst als Mitglied einer studentischen Forschungsgruppe vor, ohne mir Links zu schicken.“ Die unbekannte Person versuchte schnell, Vertrauen aufzubauen. Innerhalb von zwei Monaten wurden dem Journalisten mindestens zehn Links von derselben Nummer zugesandt, die vorgaben, zu Nachrichtenartikeln oder scheinbar harmlosen Webseiten zu führen.
Ab dem Zeitpunkt, an dem der Journalist auf einen der Links geklickt hatte, konnten die Angreifer*innen auf eine Vielzahl von Daten zugreifen – darunter verschlüsselte Nachrichten in Messaging-Apps wie Signal und WhatsApp, Audioaufzeichnungen, E-Mails, Geräteorte, Screenshots und Kamerafotos, gespeicherte Passwörter, Kontakte und Anrufprotokolle. Bis jetzt ist nicht klar, welche Daten abgegriffen wurden. Die digitale Attacke war nach weniger als 24 Stunden durch einen Geräteneustart unterbrochen worden.
Verdacht auf Spionageattacken in Angola gab es in der Vergangenheit regelmäßig, auch bei Candido: Der Journalist vermutete bereits seit 2022, Opfer einer Spyware-Attacke gewesen zu sein. Damals wurde innerhalb von drei Monaten mehrmals in das Büro von SJA eingebrochen, ohne dass es Spuren eines gewaltsamen Eindringens gab. Auch weitere Medienschaffende erlebten ähnliche Einbrüche, wobei jedes Mal Computer gestohlen wurden.
Die Spyware-Erkenntnisse haben Teixeira Candidos Arbeit geprägt. Seit den Enthüllungen hat er Vorsichtsmaßnahmen hinsichtlich seiner digitalen Identität getroffen: Er bespricht keine sensiblen Themen mehr telefonisch oder über Messenger-Dienste und bevorzugt nun persönliche Treffen.
Im Rahmen der „Predator Files“ deckt das Amnesty Lab bereits seit 2022 die hochinvasive Eigenschaft der Spyware auf. Predator wurde in mehreren Staaten gegen Journalist*innen genutzt, unter anderem in Griechenland und Vietnam.
Hinweise zum Schutz vor digitalen Angriffen gibt es hier. Journalist*innen, die den Verdacht haben, von ähnlicher Überwachung betroffen zu sein, können sich an das Digital Security Lab wenden (mail@lab.rsf.org).
Auf der Rangliste der Pressefreiheit belegt Angola den Platz 100 von 180.