Die Gruppe nutzt raffinierte Social-Engineering-Angriffe über Signal und LinkedIn, um die Android-Spyware ProSpy auf den Geräten von Journalisten und Aktivisten im Nahen Osten und Nordafrika zu platzieren. Experten stufen die Operation als mutmaßliches Hack-for-Hire-Modell ein, bei dem staatliche Akteure die Überwachungsdienste der Gruppe nutzen.
Gefälschte Jobangebote und gekaperte Signal-Konten
Die Angreifer gehen gezielt vor. Sie erstellen gefälschte LinkedIn-Profile und kontaktieren ihre Opfer mit vermeintlich lukrativen Stellenangeboten. Nach einem ersten Austausch locken sie die Zielpersonen auf präparierte Phishing-Seiten, die Login-Masken für Google Drive oder iCloud imitieren.
Der Fall der Gruppe BITTER APT zeigt, wie leicht Kriminelle Zugriff auf sensible Daten erhalten können, wenn das Smartphone nicht ausreichend gesichert ist. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Gerät sofort gegen Hacker und Spionage absichern. 5 Schutzmaßnahmen jetzt entdecken
Ein besonders heimtückischer Trick ist die Kompromittierung von Signal-Konten. Die Angreifer versenden bösartige QR-Codes unter dem Vorwand einer technischen Verifizierung. Scannt das Opfer den Code, erhält BITTER APT vollen Zugriff auf die privaten Chats – ohne dass das Smartphone selbst infiziert sein muss.
In Ägypten wurden die bekannten Regierungskritiker Mostafa Al-A’sar und Ahmed Eltantawy Ziel solcher Attacken. Im Libanon gab sich die Gruppe Anfang April 2026 sogar als Apple-Support aus, um über iMessage und WhatsApp an iCloud-Backups zu gelangen.
ProSpy: Eine Spyware mit umfassenden Überwachungsfähigkeiten
Das technische Herzstück der Kampagne ist die Spyware ProSpy. Sie tarnt sich als vermeintlich sicherere Version von Apps wie „Signal Encryption Plugin“. Nach der Installation verlangt sie weitreichende Berechtigungen und kann dann das Gerät fast vollständig kontrollieren.
Die Malware kann Kontakte, SMS, Anruflisten und private Dateien wie Word- oder PDF-Dokumente stehlen. Sie hat Zugriff auf Fotos, Audioaufnahmen und Videos und kann sogar Chat-Backups anderer Messenger auslesen. Zudem ermöglicht sie die Echtzeit-Ortung und die heimliche Aktivierung von Mikrofon und Kamera.
Sicherheitsforscher von Lookout identifizierten am 13. April 2026 elf verschiedene Varianten von ProSpy. Die Spyware nutzt eine modulare Architektur, die es den Angreifern erlaubt, sie flexibel an neue Ziele und Sicherheitsvorkehrungen anzupassen.
Strategiewechsel: Vom Energiesektor zur Zivilgesellschaft
Die aktuelle Kampagne markiert eine deutliche Verschiebung der Taktik von BITTER APT. Die seit 2013 aktive Gruppe, auch als T-APT-17 bekannt, konzentrierte sich traditionell auf Ziele im Energie-, Regierungs- und Verteidigungssektor in Südasien.
Ob Journalisten, Aktivisten oder Privatpersonen – wer Online-Banking, PayPal oder WhatsApp auf seinem Smartphone nutzt, wird zunehmend zum Ziel von Cyberkriminellen. Erfahren Sie in diesem Gratis-PDF, wie Sie Ihr Android-Smartphone effektiv vor Viren und Datenmissbrauch schützen. Kostenlosen Sicherheits-Ratgeber herunterladen
Jetzt richtet sie ihren Fokus auf die Zivilgesellschaft im Nahen Osten. Experten sehen darin ein klares Indiz für ein Hack-for-Hire-Modell: BITTER APT agiert demnach als Dienstleister für staatliche Akteure, die Dissidenten und Journalisten überwachen lassen wollen.
Die Gruppe erhöht die Glaubwürdigkeit ihrer Angriffe, indem sie kompromittierte E-Mail-Konten von Regierungsbehörden, beispielsweise aus Pakistan, missbraucht. So tarnt sie ihre Phishing-Nachrichten als offizielle Kommunikation.
Wie können sich gefährdete Personen schützen?
Angesichts der raffinierte Taktiken empfehlen Sicherheitsexperten mehrere Schutzmaßnahmen:
* Apps nur aus offiziellen Stores wie dem Google Play Store installieren und „Sideloading“ von APK-Dateien strikt vermeiden.
* In den Signal-Einstellungen regelmäßig prüfen, welche verknüpften Geräte den Account nutzen, und unbekannte Sitzungen sofort beenden.
* Zwei-Faktor-Authentifizierung (2FA) nutzen, idealerweise mit einem hardwarebasierten Sicherheitsschlüssel statt SMS-Codes.
* Bei unerwarteten Jobangeboten oder Support-Anfragen über Messenger stets skeptisch sein und den Kontakt über einen zweiten, unabhängigen Kanal verifizieren.
Die Bedrohung durch Gruppen wie BITTER APT bleibt hoch. Sie passen ihre Werkzeuge ständig an und profitieren von technologischen Fortschritten, die es ihnen erlauben, ihre Spuren zu verwischen. Für Journalisten und Aktivisten bedeutet das: Absolute Wachsamkeit ist zum digitalen Selbstschutz geworden.
