Bei Stalkerware handelt es sich um Überwachungssoftware oder Spyware, die für Cyberstalking eingesetzt wird.
Der Begriff Stalkerware wurde geprägt, als Menschen begannen, in großem Umfang kommerzielle Spyware oder Überwachungssoftware zu verwenden, um ihre Ehepartner oder Intimpartner auszuspionieren.
Diese spezielle Form der Schadsoftware verkauft Kontrolle als Dienstleistung. Die Anbieter sprechen dabei von Kinderschutz, Monitoring, Mitarbeiterkontrolle oder dem Schutz von verlorenen Geräten. Auf dem Smartphone sieht das jedoch ganz anders aus. Eine App liest dort mit, sammelt Daten und reicht sie an Personen weiter, die damit gar nichts zu tun haben.
Neuer Stalkerware-GAU: 86.859 Screenshots frei verfügbar
In einem frei zugänglichen Cloud-Repository hat man 86.859 Screenshots von einem Smartphone gefunden. Die Bilder zeigten private Chats, intime Inhalte, Social-Media-Kommunikation, Rechnungen, Telefonnummern, teilweise Zahlungsdaten und weitere persönliche Informationen. Der Datensatz soll Inhalte aus dem Zeitraum von Mitte 2024 bis Mitte 2025 enthalten.
Der Name des prominenten Opfers ist nicht bekannt. Die Person war ein Influencer, es kann aber jeden treffen. Entscheidend ist, was die Stalkerware auf dem Gerät macht. Eine Überwachungssoftware greift Inhalte direkt dort ab, wo sie angezeigt werden. Danach landen sie in einer Cloud-Ablage, die offen im Netz steht. Aus heimlicher Kontrolle wird ein Datenleck.
Die App muss keine Verschlüsselung brechen, da die Ende-zu-Ende-Verschlüsselung Nachrichten auf dem Weg zwischen zwei Geräten schützt. Auf einem kompromittierten Smartphone endet dieser Schutz an einer einfachen Stelle: dem Bildschirm. Sobald eine Nachricht dort lesbar erscheint, kann eine App mit entsprechenden Rechten ebenfalls kopieren.
Stalkerware muss also nicht die Verschlüsselung von WhatsApp oder Signal angreifen. Sie wartet auf den Moment danach. Screenshots, Benachrichtigungen, App-Inhalte und Systemrechte reichen dafür schon aus. In der aufgetauchten Sammlung befanden sich Inhalte aus WhatsApp, Instagram, Facebook und TikTok.
Die Inhalte, die die Stalkerware sammelt, betreffen immer mehr als eine Person. Auf den Geräten der Gesprächspartner muss dafür keine Spyware installiert sein. Es reicht, wenn die Betroffenen mit dem kompromittierten Smartphone kommunizieren.
Cocospy und die Tarnung als Kontroll-App
Im offenen Cloudspeicher befand sich eine Datei mit dem Namen „Cocospy“. Solche Apps treten selten offen als Spyware auf. Sie werben mit Standortverfolgung, Nachrichten, Anrufen, Zugriff auf Apps, WhatsApp-Inhalten, Kontakten, Browserverlauf und möglichst unauffälligem Betrieb. Das klingt nach einem großen Funktionsumfang. Doch im Prinzip geht es immer nur um den Zugriff.
Die Wortwahl ist Teil des Verkaufs. Der Begriff „Monitoring” klingt dagegen nach Verwaltung. „Kinderschutz” hingegen klingt nach Verantwortung. „Remote Surveillance” hingegen wirkt rein technisch und schafft Abstand zum eigentlichen Vorgang. Auf dem Smartphone zählt jedoch nicht die Überschrift auf der Produktseite. Ausschlaggebend ist, welche Daten die App lesen und weitergeben kann.
So leicht lässt sich diese Software allerdings nicht auf jedem Smartphone installieren. Wer sein Gerät sauber absichert, macht es Stalkerware schwer. Ein gutes Beispiel dafür liefert GrapheneOS. Damit lässt sich der Fingerabdruck mit einer zusätzlichen PIN-Abfrage kombinieren. Der Fingerabdruck allein reicht also nicht aus, um das Gerät zu öffnen. Kommt noch eine Duress-PIN hinzu, benötigt ein Angreifer mehr als nur kurzen physischen Zugriff oder eine erzwungene biometrische Entsperrung.
Das macht das Gerät aber auch nicht unangreifbar: Wenn es entsperrt herumliegt oder jemand den echten Code kennt, bleibt es möglich, die Stalkerware zu installieren.
Die typische Billig-Variante, wie sie bei normalen Consumergeräten üblich ist, ist jedoch deutlich schwieriger. Der Täter muss nur kurz ungesehen Zugriff bekommen, die App installieren, ein paar Berechtigungen bestätigen und das Symbol verstecken. Dinge wie ein starker Sperrcode, die Rechtekontrolle und ein Blick auf alle bereits installierten Apps sind deshalb keine Spielerei. Sie sind für jeden Nutzer essenziell.
Wenn das Smartphone und die Straße ein Bild ergeben
Stalkerware liest das Smartphone. Flock Safety liest die Straße. Das System erfasst Kennzeichen, Fahrzeuge, Orte und Zeitpunkte. In den USA hängen dafür bereits mehr als 80.000 Kameras an Straßen, Parkplätzen und Einfahrten. Die Daten speichern die Kameras in einer durchsuchbaren Oberfläche. Wer darauf Zugriff hat, kann nachvollziehen, wann ein Fahrzeug wo aufgetaucht ist.
Daten zusammenführen ist kein Fantasieszenario
Für sich genommen sind das getrennte Datenspuren. Zusammen beschreiben sie jedoch schnell den Alltag einer überwachten Person. Die Stalkerware liefert dem Überwacher Chats, Kontakte, Bilder und Termine. Kennzeichenscanner liefern Wege, einmalige und wiederkehrende. Die Standortdaten aus Apps, offenen Datenbanken oder schlecht geschützten Zugängen können weitere Teile des Puzzles liefern.
Dafür braucht man nicht zwingend einen Staat im Hintergrund. Je nach Umfang kann eine Analyseplattform, eine interne Abfrage, eine geleakte Oberfläche oder ein eigener Server mit Crawlern reichen. Wer mehrere Quellen anzapft, kann daraus zwar kein perfektes Lagebild erstellen. Man hat aber oft genug Material für Kontrolle, Druck oder Stalking zur Verfügung.
Ein Forenbeitrag hat bereits gezeigt, wie niedrig die Hürde bei Flock Safety ausfallen kann, um von außen auf die Daten zuzugreifen. Auffindbare Oberflächen und Zugänge genügen bei solchen Daten, um Bewegungen abfragbar zu machen. Wer Kennzeichen, Orte und Uhrzeiten zentral sammelt, schafft damit eine Suche über echte Wege.
Diese Mischung wird bei Betrug besonders gefährlich. Je mehr man über ein Opfer weiß, desto glaubwürdiger kann man in dessen Namen auftreten. Spear Phishing lebt von solchen Details. Ein Täter muss nicht mehr raten, ob jemand Kunde einer Bank, eines Dienstleisters oder eines Paketdienstes ist. Er kann aufgrund des Stalkerware-GAUs Nachrichten, Kontakte, Aufenthaltsmuster oder frühere Vorgänge nutzen, um Druck aufzubauen oder Vertrauen vorzutäuschen.
Die Installation selbst muss nicht wie ein technischer Angriff aussehen. Betrüger können Opfer dazu bringen, auf ihren Smartphones vermeintliche Hilfs-, Sicherheits- oder Update-Apps sowie Support-Lösungen zu installieren. Danach läuft die Kontrolle nicht mehr nur über eine Nachricht oder einen Anruf. Die App bleibt dauerhaft auf dem Gerät installiert und liefert neue Daten nach.
Aus einzelnen Spuren entsteht jedoch keine Kontrolloberfläche wie aus einem Hollywood-Film. Daraus entsteht etwas Nützlicheres für die Täter. Sie erhalten damit ein brauchbares, aktuelles Bild. Wem schreibt das Opfer? Wer fährt wohin? Welche Termine stehen an? Welche Personen genießen beim Überwachten viel Vertrauen? Für Stalking, Erpressung oder gezielte Betrugsmaschen reicht das oft völlig aus.
Diese Branche verbockt die Daten nicht zum ersten Mal
Cocospy stammt nicht aus einer sauberen Branche mit einem einzelnen Ausrutscher. Bereits im Jahr 2025 machten Sicherheitslücken bei Cocospy und Spyic die Daten kompromittierter Geräte zugänglich. Gleichzeitig tauchten E-Mail-Adressen von Nutzern auf, die sich bei diesen Diensten angemeldet hatten. Bei Cocospy waren es 1,81 Millionen Kundenadressen und bei Spyic 880.167.
Später verschwanden Cocospy, Spyic und Spyzie aus dem Netz. Die Webseiten gingen offline und auch der bei Amazon gehostete Cloud-Speicher verschwand. Das klang nach einem Schlussstrich. Mit dem Stalkerware-GAU verschwanden die Anbieter. Doch bei solchen Angeboten verschwindet oft nur der Name. Der Markt für derartige Dienstleistungen bleibt bestehen. Die Dienstleister tauchen später einfach mit einem anderen Namen auf.
Dadurch entsteht weiterer Schaden. Wer solche Software nutzt, gibt die Beute an Anbieter, Dashboards und Cloud-Strukturen weiter, die selbst immer wieder auffallen. Der Schaden wandert vom Gerät zum Anbieter und von dort im schlimmsten Fall ins offene Netz.
Stalkerware-GAU: Ein Gerät reicht für viele Betroffene
Bei Stalkerware denken viele zu klein. Eine Zielperson, eine überwachende Person, ein Gerät. So sauber bleibt es jedoch nicht. Sobald Screenshots, App-Inhalte und Benachrichtigungen in einer Sammlung landen, werden automatisch auch andere Personen mit hineingezogen. Private Nachrichten, Telefonnummern, Rechnungen, Fotos, Zahlungsdetails, Social-Media-Chats usw. Das Ganze betrifft nicht nur den Besitzer des Smartphones, wo die App aktiv ist. Es betrifft auch alle, die mit der Person kommunizieren. Oft merken die Betroffenen nicht einmal, dass ihre Nachrichten in einem Überwachungsarchiv landen.
Stalkerware ermöglicht eine Überwachung ohne Zustimmung und erleichtert so die Überwachung intimer Partner. Möglich ist damit auch Belästigung, Stalking, Gewalt oder andere Formen des Missbrauchs. Der Begriff „Kontrollsoftware“ klingt deshalb zu harmlos. Er macht die Funktion harmloser, als sie ist.
Das Löschen der App löst nicht automatisch alle Probleme
Klassische Android-Sicherheits-Apps erkennen Stalkerware inzwischen besser als früher. Einheitlich gut fällt das Bild aber nicht aus. In einem aktuellen Test der EFF erkannte Malwarebytes alle geprüften Stalkerware-Produkte. Mehrere andere Anbieter lagen knapp dahinter. Google Play Protect und Trend Micro fielen beim Test dagegen deutlich ab.
Findet man die App und löscht sie, kann es kompliziert werden. Verschwindet die App plötzlich, merkt die überwachende Person unter Umständen, dass ihr Zugriff weg ist. In Beziehungen, bei Trennungen oder sonstigen Abhängigkeiten kann genau das gefährlich werden.
Betroffene sollten deshalb nicht auf dem überwachten Gerät nach Hilfe suchen. Läuft darauf wirklich Stalkerware, protokolliert die Software die Suche. Ein anderes, nicht überwachtes Gerät ist sicherer. Von dort aus kann man die Konten prüfen, Passwörter ändern, aktive Sitzungen beenden und Beweise sichern.
Das Muster ist seit Jahren bekannt
Stalkerware-Anbieter verkaufen Kontrolle als Dienstleistung. Die Software wird von Nutzern heimlich oder unter Druck installiert. Die gesammelten Daten landen in Dashboards, Cloud-Speichern und schlecht gepflegten Systemen. Irgendwann kommt es zum Leak. Anschließend hat niemand mehr die Kontrolle über die sensiblen Daten.
Für die Betroffenen beginnt der Schaden jedoch nicht erst mit dem Leak. Der Leak macht lediglich sichtbar, wie wenig Kontrolle über diese Daten bleibt, sobald sie einmal existieren.
Die Anbieter nutzen dafür viel weichere Begriffe. Kontrolle, Monitoring, Kinderschutz, ein Remote-Zugriff für mehr Sicherheit mit legalen Mitteln. All diese Begriffe klingen sauberer als „Spyware”. Sie ändern aber nichts an der Funktion. Wer ein fremdes Smartphone heimlich überwacht, schützt niemanden. Man begeht eine Straftat. Der Täter übernimmt die Kontrolle über das Gerät. Hätte der Überwacher doch besser genauso viel Kontrolle über die illegal erlangten Daten…
