Neues Kaspersky-Tool erkennt Pegasus-Spyware

Das Global Research and Analysis Team (Great) von Kaspersky hat ein neues Tool entwickelt, um die Überwachungssoftware Pegasus und ähnlich fortschrittliche Spyware für Apples Mobilbetriebssystem iOS zu erkennen. Das Tool, mit dem Nutzer selbst prüfen sollen, ob sie infiziert wurden, soll neben Pegasus auch die Spionageprogramme Reign und Predator aufspüren.

Das iShutdown genannte Tool nutzt eine Schwachstelle der Spyware-Programme, auf die jüngst die Experten von Kaspersky gestoßen waren. Demnach hinterlässt eine Pegasus-Infektion im Systemprotokoll „Shutdown.log“, das im Diagnosearchive jedes mobilen iOS-Geräts enthalten ist, eindeutige Spuren.

Das Archiv enthält Informationen zu jedem Reboot-Vorgang, so dass Anomalien der Pegasus-Malware im Protokoll sichtbar werden, sobald ein infizierter Nutzer sein Gerät neu startet. Dazu gehören unter anderem, insbesondere bei der Pegasus-Spyware, „haftende“ Prozesse, die Neustarts verhindern, sowie Infektionsspuren, die von der Cybersicherheitscommunity entdeckt wurden.

Bei der Analyse der Shutdown.log von Pegasus-Infektionen fanden die Kaspersky-Experten den Infektionspfad „/private/var/db/“, der den Pfaden anderer iOS-Malware wie Reign und Predator entsprach. Die Kaspersky-Experten gehen davon aus, dass diese Protokolldatei das Potenzial birgt, Infektionen im Zusammenhang mit diesen Malware-Familien zu identifizieren.

„Die Analyse des Sysdiag Dump ist eine minimalinvasive und ressourcenschonende Methode, die sich auf systembasierte Artefakte stützt, um potenzielle iPhone-Infektionen zu identifizieren“, sagte Maher Yamout, Lead Security Researcher im Great von Kaspersky. „Durch den Infektionsindikator aus diesem Protokoll und die Bestätigung der Infektion mit Hilfe der Verarbeitung anderer iOS-Artefakte durch das MVT (Mobile Verification Toolkit) wird das Protokoll nun Teil eines holistischen Ansatzes zur Untersuchung von iOS-Malwareinfektionen. Wir haben die Verhaltensübereinstimmung mit anderen analysierten Pegasus-Infektionen verifiziert, so dass wir davon ausgehen, dass es als zuverlässiges forensisches Artefakt zur Unterstützung der Infektionsanalyse dienen wird.“

Das Tool ist frei auf GitHub erhältlich. Kaspersky bietet es dort für macOS, Windows und Linux an.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

2 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

3 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

3 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

3 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

4 Tagen ago