Datenleck enttarnt Spionagesoftware „Catwatchful“ – Tausende Nutzer betroffen

Ein Sicherheitsleck in der Android-Spionage-App Catwatchful hat sensible Daten von Tausenden Nutzern offenbart – darunter auch Informationen des Betreibers selbst. Die App, die unbemerkt auf Smartphones mitläuft, wird der umstrittenen Kategorie sogenannter „Stalkerware“ zugeordnet.

Entdeckt wurde die Schwachstelle vom Sicherheitsforscher Eric Daigle. Nach eigenen Angaben stieß er bei der Analyse bekannter Spionage-Tools auf die bislang wenig bekannte App Catwatchful, die sich als eigenständiger Dienst mit umfassenden Überwachungsfunktionen entpuppte – inklusive dreitägiger Gratis-Testphase.

Der von Daigle dokumentierte Fehler ermöglichte den Zugriff auf die gesamte Datenbank der App. Dabei wurden unter anderem E-Mail-Adressen und Passwörter im Klartext offengelegt, mit denen Nutzer auf die von ausgespähten Geräten gesammelten Informationen zugreifen konnten. Die Brisanz: Auch der Administrator des Dienstes wurde durch das Datenleck kompromittiert.

Die Krux ist zudem, wie offen sich Catwatchful selbst positionierte. Zwar enthält die Website einen juristischen Hinweis, der die Nutzung nur mit Zustimmung des Überwachten erlaubt – in den FAQ wurde die Anwendung allerdings erstaunlich direkt als Überwachungstool für heimliches Mitlesen beschrieben.

Frage: Kann ich ein Telefon überwachen, ohne dass der Besitzer davon erfährt?
Antwort: Ja, mit einer Überwachungssoftware für Mobiltelefone können Sie ein Telefon überwachen, ohne dass der Besitzer davon erfährt. Die App ist auf dem Telefon unsichtbar und nicht nachweisbar. Sie arbeitet im versteckten und heimlichen Modus.

Anscheinend noch immer nicht zufrieden, prahlte das Unternehmen in einer Liste von Funktionen sogar noch weiter mit „absoluter Tarnung“:

„Catwatchful ist unsichtbar. Es kann nicht erkannt werden. Es kann nicht deinstalliert werden. Es kann nicht gestoppt werden. Es kann nicht geschlossen werden. Nur Sie haben Zugriff auf die gesammelten Informationen.“

Einrichtung: So beschreibt Eric den Installationsprozess

Eric begann mit der Einrichtung und schildert den Ablauf wie folgt: Zunächst legte er ein kostenloses Testkonto auf der Website an. Dabei fielen ihm zwei separate POST-Anfragen auf. Offenbar wurde gleichzeitig ein Konto sowohl in einer Firebase-Instanz als auch in einer benutzerdefinierten Datenbank unter catwatchful.pink erstellt.

Nach erfolgreicher Registrierung und Anmeldung erhielt er eine APK-Datei zum Herunterladen und Installieren. Der Installationsprozess entsprach dem typischen Vorgehen bei Android-Stalkerware: Die App ermöglichte den Download und die Installation einer weiteren APK, die bereits mit seinen Kontoanmeldedaten vorkonfiguriert war. Diese forderte anschließend umfassende Systemberechtigungen an, leitete durch die Deinstallation der ursprünglichen Setup-App und lief fortan unbemerkt im Hintergrund weiter – getarnt im App-Drawer mit einem generischen „Einstellungen“-Symbol.

Erkundung: Catwatchful zeigt sich als voll funktionsfähige Überwachungsplattform

Nächster Schritt: „Nach der Installation der App und der erneuten Anmeldung im Browser wurde mir ein übersichtliches Kontrollpanel angezeigt, über das ich vollständigen Zugriff auf mein Testgerät erhielt.“

Was ihn besonders erstaunte: Die App funktionierte reibungslos. Während viele ähnliche Stalkerware-Anwendungen laut Daigle oft instabil sind und aus schlecht gepflegtem Code bestehen, zeigte sich Catwatchful technisch ausgereift. Sämtliche Funktionen arbeiteten zuverlässig und nahezu verzögerungsfrei.

Besonders beunruhigend waren für Daigle die Live-Foto- und Mikrofonfunktionen. Ohne jede Benachrichtigung oder sichtbare Aktivität auf dem Zielgerät konnten Fotos aufgenommen und Tonaufnahmen gemacht werden, die innerhalb von Sekunden im Kontrollpanel erschienen – für den betroffenen Nutzer vollkommen unbemerkt.

Der einzige Fehler, den ich gefunden habe, war in den Zählern in der Seitenleiste (ich habe während des Tests tatsächlich nicht 3002 Screenshots gemacht). Quelle: Eric Daigle

Spielen mit dem anderen Server

Wenn ich die Anfragen seit meiner erneuten Anmeldung zurückblättere, sehe ich, dass noch einige weitere Anfragen an catwatchful.pink gestellt wurden, offenbar an eine PHP-API, die verschiedene Kontoinformationen bereitstellt, die zum Aufbau der Benutzeroberfläche des Control Panels verwendet werden.

Wie alle anderen servicios.php-Aufrufe ist auch dieser nicht authentifiziert – ich kann das Installationsdatum, das Datum der letzten Nutzung und den Installationsstatus jeder Person abrufen, indem ich einfach ihren imei-Parameter kenne! Aber keine dieser Daten sind besonders interessant, und selbst wenn sie es wären, hat der Parameter imei (der trotz seines Namens nur eine zufällige 16-stellige alphanumerische Gerätekennung zu sein scheint) zu viel Entropie, um für einen IDOR anfällig zu sein. Das Testen der anderen operation Endpunkte in der Hoffnung, Anmeldedaten oder vorab signierte Firebase Storage-URLs zu finden, führt zu ähnlichen Ergebnissen.

SQL-Injection

Nachdem ich es aufgegeben hatte, über einen nicht authentifizierten API-Aufruf etwas Sensibles zu finden, dachte ich mir, ich könnte es genauso gut mit SQLI versuchen, auch wenn ich wusste, wie unwahrscheinlich es ist, damit 2025 in einem Produktionsdienst fündig zu werden.

Nun, das war einfach. 

Alle Ihre Anmeldedaten gehören uns

„Zeit zu sehen, was wir aus dieser Sache herausholen können.“

Die Zensoren gehören mir – diese Tabelle enthält Klartext-Anmeldedaten und Passwörter für alle ~62.000 Catwatchful-Konten. Der Dump lieferte auch einige andere Tabellen, die Konten mit Geräten verknüpfen und einige Verwaltungsstatistiken verfolgen, aber der Rest ist angesichts dieser Tabelle im Wesentlichen überflüssig. Wir kontrollieren nun jedes Konto auf dem Dienst.

Zweite Quelle: TechCrunch

Zum Entfernen der App bietet TechCrunch eine allgemeine Anleitung zum Entfernen von Android-Spyware, mit der Sie gängige Arten von Stalkerware auf Ihrem Smartphone identifizieren und entfernen und anschließend die verschiedenen Einstellungen aktivieren können, die Sie zum Schutz Ihres Android-Geräts benötigen.

---