Was hat die App in der der Trojaner Adalet war denn für den User zur Verfügung gestellt/angezeigt? Oder installiert und man dachte das funktioniert nicht?
+5
-> Die Frage kann ich basierend auf unseren Analysen nicht beantworten, schaue mir das aber gerne die Tage nochmal an. Wir haben eine rein statische Analyse der Samples durchgefuehrt, haben die also nicht irgendwo installiert oder laufen lassen um zu schauen, was sich da so praesentiert (war fuer die Aufgabenstellung schlicht nicht relevant).

Nach Presseberichten wurde der Trojaner BEWORBEN mit Messenger- und Kalender-Funktionen, hatte aber tatsächlich keinerlei sichtbaren Nutzen.


Wie ist die juristische situation und öffentliche Wahrnehmung zum trojanereinsatz in der türkei, was gab es für konsequenzen für opfer des adalet-trojaners und was können betroffene personen tun?

Dazu kann ich nichts sagen, weil ich die Rechtslage in der Türkei nicht kenne. Allgemein würde ich empfehlen, sich an eine Menschenrechtsorganisation vor Ort zu wenden, die auch mit digitalen Bedrohungen umgehen kann: Für Menschen aus der Presse Reporter ohne Grenzen, sonst Amnesty International.


Ist es möglich bei der Regierung anzufragen, in welchen Fällen sie denn den Export genehmigt haben? Bzw. Wurde das gemacht?
"Weder die FinFisher GmbH, noch die die Elaman GmbH oder die FinFisherLabs GmbH  haben  eine  Genehmigung  zur  Ausfuhr  der  Software  in  die  Türkei  oder irgendein anderes außereuropäisches Land erhalten. Auf eine parlamentarische sowie  mehrere  schriftliche  Anfragen  zu  dem  oben  beschriebenen  Sachverhalt antwortete   die   Bundesregierung,   dass   sie   seit   Einführung   der   Software-Genehmigungspflicht  im  Jahre  2015  keinem  Unternehmen  eine  Genehmigung zur   Ausfuhr   von   Intrusion-Software   wie   FinSpy   erteilt   habe"
-> Laut Bundesreg wurden seit 2015 keine Exporte genehmigt: BT-Drucksache   19/3334,   S.   5   ff.;   BT-Drucksache   19/2419,   S.   34; bestätigt in BT-Drucksache 19/2610, S. 38; bestätigt in BT-Drucksache 19/3384, S. 56.
https://freiheitsrechte.org/home/wp-content/uploads/2019/11/2019-07-04-FinFisher-Strafanzeige-DE.pdf S. 14


Gobold: Kann es sich hier um ein "time of check / time of use" Problem handeln? D.h. wäre es denkbar, dass sich der Hersteller erst die Ausfuhrgenehmigung geholt hat und dann mit der Entwicklung begonnen hat?
Es wäre ja durchaus wirtschaftlich normales Vorgehen, sich zuerst eine Genehmigung zu holen und dann Zeit und somit Geld in die Entwicklung zu stecken. Die Frage läuft also gewissermaßen darauf hinaus, ob durch das Verbot auch vorher genehmigte Exporte kassiert wurden, oder ob es möglch ist, dass es zuerst die Genehmigung gab, dann mit der Entwicklung begonnen wurde, dann kam das Verbot (für alles ab dann), danach wurde auf Basis der immer noch gültigen, alten Genehmigung der Trojaner fertiggestellt. Kann man eine solche Chronologie juristisch ausschließen?
-> Die Frage sollte tendenziell eher Ulf beantworten ;) FinSpy/FinFisher gibt es aber schon seit mind. 2012, d.h. bereits vor Inkrafttreten der Richtlinien wurde dieser Trojaner vermarktet.

Das Verbot ist ja kein Trojaner-Export-Verbot an sich, sondern ein Verbot, einen Trojaner zu exportieren, dessen Export genehmigt werden muss. Und den Export konnte man sich vor der Genehmigungspflicht nicht genehmigen lassen. Also kann es auch keine Genehmigung aus alten Zeiten geben.

Alles klar, vielen Dank!


Analyse geht auf das APK, FinFisher ist ja wahrscheinlich nur eine Komponente innerhalb derer. Wie kann man ausschlie_en, dass ein pre-2015 FinFisher-Blob in eine modernere App eingebaut wurde?
+3
 Wurde der zweite Teil dieser Frage beantwortet?
+1
-> Bin mir nicht so sicher, ob ich die Frage(n) korrekt verstanden habe. Kann man ausschliessen, dass eine regulaere App(APK) eine umfangreiche Schadroutine wie die FinSpy Mechanismen beinhaltet? Eher nicht, wenn es Mechanismen gaebe das zuverlaessig zu bestimmen, koennten das Telefon oder die AV-Mechanismen ja die Apps eleminieren. Es gibt bestimmte Verhaltensmuster und Pattern im Code den man erkennen kann, aber da so eine Schadsoftware ja weiter entwickelt wird und immer wieder die Routinen veraendert werden um eine Erkennung zu umgehen, kann das nicht mit sicherheit zuverlaessig erkannt werden. Das ist halt ein ganz allgemeines Problem. Viren, Trojaner, Ransomware gelangen ja auch staendig auf Rechner und in Netzwerke und werden nicht erkannt bevor sie aktiv werden.
--> Die Frage (letzter Teil) ging ehr in die Richtung ob es möglich ist, dass die App nicht komplett von FF gebaut wurde, sondern eine türkische Agentur die App nach 2015 mit einer pre-2015-FF-Komponente selbst erstellt hat.

Wie bekannt sind Schutzma_nahmen unter den (potenziellen) Opfern, um die rootkits von FinFisher zu erkennen oder zu vermeiden?
+2

Welche Tools wurden zur Analyse und Visualisierung der Calls Funktionsaufrufe benutzt (auf einer Folie zur Code-Historie)?
-> SciTools Understand (Java Dekompilat in Understand analysiert)

Kann man aus den bekannten Daten irgendwas ueber die Kompetenz der Macher sagen? Also haben die gute Leute oder nur Idioten die keine andere Wahl haben an sowas zu arbeiten?
-> Manche Ideen sind ganz gut, manche Dinge wiederum nicht. Die Problemstellungen in dieser Branche sind fuer Hacker grundsaetzlich spannend, wenn die einen motivierten Hacker und Researcher haben, der Freude an der Loesung solcher Probleme hat, muss der nicht unbedingt ein Profi sein, sondern wird auch binnen Monaten entsprechende Skills haben.

Was ist die härteste Strafe, mit der FinFisher im Falle einer Verurteilung zu rechnen hätte?
+3

Die Firma selbst kann nicht bestraft werden, aber einzelne Personen, die die GFF angezeigt hat. Der Strafrahmen reicht bis zu fünf Jahren Freiheitsstrafe.

Kann ich als böser Diktator mir jetzt mit den veröffentlichten Samples und Tools meine eigene Schadsoftware bauen ohne FinFisher? +2
-> Unrealistisch. FinSpy ist nur ein kleiner Teil einer ganzen Suite. Hierzu gehoert ja auch noch ein ganzer Klotz an Infrastruktur: Command & Control Server, Proxies, etc. Um dem Trojaner selbst noch eiegene Routinen beizubringen bzw. den weiter zu entwickeln, muesste noch einiges an Reverse Engineering erledigt werden. Ich schaetze wer diese Skills hat, wuerde eher lieber gleich auf ein eigenes Verfahren setzen und nicht FF hinterher researchen. Um eigene Schadsoftware zu bauen gibt es vermutlich einfachere Wege - gibt ja auch entsprechende Baukaesten.