Pegasus Spy – ist mein Smartphone betroffen?

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Als ich den Newsletter Beitrag über die Spionage Software Pegasus geschrieben habe, habe auch ich mich gefragt, ob ich wohl betroffen bin. Ist es Ihnen auch so ergangen?

Möchten Sie wissen, ob Sie betroffen sind und wie man das überprüfen kann?

Um herauszufinden, ob Pegasus derzeit auf dem Telefon installiert ist, ist die MVT Software äußerst hilfreich. Amnesty International hat das Mobile Verification Toolkit entwickelt. Kurz gesagt, ist es auch als MVT bekannt. Dieser Prozess der Installation des MVT kann mit der Verwendung von Python durchgeführt werden, wie es unten aufgeführt ist. Dieses MVT funktioniert sowohl auf Android- als auch auf iOS-Geräten.

Wie funktioniert MVT?

MVT durchsucht aktiv das Android- oder iOS-Gerät oder ein Android-Backup, um herauszufinden, ob das Gerät mit Pegasus kompromittiert wurde.

Wie installiert man MVT?

Wie bereits erwähnt, spielt es keine Rolle, ob Sie ein Android- oder iOS-Benutzer sind. Dieses MVT-Toolkit kann auf beiden Arten von Geräten installiert werden. MVT ist auf iOS effektiver als auf Android. Daher konzentrieren wir uns in dieser Anleitung darauf, den Prozess zum Aufspüren von Pegasus auf dem iPhone in einer Schritt-für-Schritt-Anleitung aufzuschlüsseln.

Wie kann ich Pegasus Spyware entfernen?

Im Moment gibt es keine sichere Methode, Pegasus zu entfernen. Es ist unklar, ob sogar ein Zurücksetzen auf die Werkseinstellungen funktionieren würde, da die Spyware möglicherweise in den unteren Ebenen des Systemcodes verbleibt.

Wenn Ihr Telefon infiziert ist, besteht die beste Lösung darin, das Gerät und die Nummer zu wechseln. Natürlich könnte ein neues Android- oder iPhone-Gerät genauso leicht kompromittiert werden wie das vorherige, obwohl Apple das Update iOS 14.7.1 veröffentlicht hat, das vermutlich einige der betroffenen Schwachstellen behebt.

Was brauche ich, um mein iPhone auf Pegasus-Spyware zu überprüfen?

Um den Prozess zu vereinfachen und um das Tool auf macOS, Linux oder Windows auszuführen, werden wir einen Docker-Container verwenden, der speziell für MVT vorbereitet wurde. Im ersten Schritt müssen Sie also Docker auf Ihrem Rechner installieren.

Öffnen Sie zunächst ein Terminal und erstellen Sie einen Ordner für die Dateien, die wir verwenden werden, indem Sie diesen Befehl eingeben und die Eingabetaste drücken:

mkdir Pegasus

Wechseln Sie dann in den Ordner Pegasus, indem Sie eingeben:

cd Pegasus

Jetzt müssen Sie Ordner für MVT erstellen. Geben Sie ein:

mkdir ioc backup decrypted checked

Anschließend müssen Sie eine Datei mit Indikatoren für verdächtiges Verhalten abrufen. Geben Sie ein:

wget raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2

Um das Docker-Image einzurichten, geben Sie jetzt ein:

docker build -t mvt

Wie bereite ich mein iPhone für die MVT-Analyse vor?

Zunächst möchten Sie wahrscheinlich verhindern, dass sich das Display Ihres iPhones während des Prozesses ausschaltet. Tippen Sie auf das Symbol "Einstellungen" und dann auf "Anzeige & Helligkeit" > "Automatische Sperre" > "Nie", um sicherzustellen, dass das iPhone-Display eingeschaltet bleibt.

Schließen Sie nun Ihr iOS-Gerät an den USB-Anschluss Ihres Computers an. Sie müssen nun den USB-Daemon stoppen, der die Verbindungen zwischen Ihrem Computer und Ihrem iOS-Gerät verwaltet. Tippen Sie:

systemctl stop usbmuxd

Es kann sein, dass Sie ein wenig warten müssen, bis dieser Vorgang abgeschlossen ist und Sie zur Eingabeaufforderung $ zurückkehren. Führen Sie nun den Docker-Container aus, indem Sie den gesamten Befehl eingeben:

docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host \
-v $PWD/ioc:/home/cases/ioc \
-v $PWD/decrypted:/home/cases/decrypted \
-v $PWD/checked:/home/cases/checked \
-v $PWD/backup:/home/cases/backup \
mvt

Drücken Sie nach mvt die Eingabetaste. Sie arbeiten jetzt innerhalb des Docker-Containers, und die Eingabeaufforderung sollte sich wie folgt ändern: root@yourmachine:/home/cases# Starten Sie den USB-Daemon erneut durch Eingabe:

usbmuxd

Ihr iPhone sollte eine Meldung anzeigen, in der Sie gefragt werden, ob Sie dem Computer vertrauen wollen. Drücken Sie also auf "Vertrauen" und geben Sie Ihren iPhone-Passcode ein, falls Sie dazu aufgefordert werden.
Vergewissern Sie sich, dass Ihr iPhone mit Ihrem Computer verbunden ist, indem Sie die entsprechende Taste drücken:

ideviceinfo

Bei einer erfolgreichen Verbindung sollten Sie Unmengen von technischen Daten in das Terminal eingeben können. Wenn Sie die Fehlermeldung "Gerät nicht erkannt" erhalten, versuchen Sie, Ihr iPhone neu zu starten und den Befehl zu wiederholen.

Jetzt können Sie ein Backup auf Ihrem Computer erstellen. Ein verschlüsseltes Backup ermöglicht es dem Prozess, mehr Informationen vom Gerät zu sammeln. Wenn Sie also Ihr Gerät nicht mit einem Passwort geschützt haben, müssen Sie die Verschlüsselung aktivieren, indem Sie den Befehl eingeben:

idevicebackup2 backup encryption on -i

Wenn Sie die Verschlüsselung bereits aktiviert haben, wird Ihnen das Terminal dies mitteilen. Wenn nicht, wählen Sie ein Passwort und geben Sie es ein, wenn Sie dazu aufgefordert werden. Um das Backup zu starten, geben Sie ein:

idevicebackup2 backup --full backup/

Je nachdem, wie viele Informationen sich auf Ihrem Gerät befinden, kann dieser Vorgang einige Zeit in Anspruch nehmen. Um zu bestätigen, dass die Sicherung erfolgreich war, geben Sie ein:

Run ls -l backup

Damit sollten Sie den Namen der Sicherung erhalten, den Sie für den nächsten Schritt benötigen. Jetzt befindet sich das Backup auf Ihrem Computer und Sie können es entschlüsseln, indem Sie es eintippen:

mvt-ios decrypt-backup -p <enter your backup password here> -d decrypted backup/<enter backup folder name here>

Der Befehl, den Sie eingeben, sollte so aussehen:

mvt-ios decrypt-backup -p password1234 -d decrypted backup/4ff219ees421333g65443213erf4675ty7u96y743

Nachdem das Backup entschlüsselt wurde, können Sie mit der Analyse fortfahren. Um das Backup zu analysieren, vergleicht das MVT-Tool es mit einer stix2-Datei, die Beispiele für bösartige Aktivitäten enthält. Um den Vergleich durchzuführen, verwenden Sie:

mvt-ios check-backup -o checked --iocs ioc/pegasus.stix2 decrypted

MVT erstellt dann eine Reihe von JSON-Dateien, die die Ergebnisse des Vergleichs enthalten. Sie können diese Ergebnisse mit diesem Befehl überprüfen:

ls l checked

Öffnen Sie nun den Ordner "checked" innerhalb des Pegasus-Hauptordners. Suchen Sie nach allen JSON-Dateien mit „_detected“ am Ende des Dateinamens. Wenn es keine gibt, konnte das Tool keine Hinweise auf eine Pegasus-Infektion finden. Wenn _detected-Dateien vorhanden sind, sollten Sie die Ordner mit den Bezeichnungen "backup", "decrypted" und "checked" an einen sicheren, verschlüsselten Ort kopieren, um sie in Zukunft nutzen zu können.

Um den Docker-Container zu beenden, geben Sie ein:

Exit

Was passiert, wenn MVT Beweise für einen Pegasus-Angriff findet?

Wenn es einige Dateien gibt, die mit _detected markiert sind, wäre es ratsam, einen Cybersicherheitsexperten zu kontaktieren und Ihre Telefonnummer zu ändern.

Sie sollten Ihr infiziertes Telefon als Beweismittel aufbewahren, es aber ausschalten und es isoliert und weit entfernt von wichtigen Gesprächen aufbewahren.

Sie sollten Ihr Telefon bei allen Online-Diensten deaktivieren und das Passwort für alle Konten, auf die Sie über das verdächtige Gerät zugreifen, auf einem anderen Gerät ändern.

Diese Spyware verwendet viele bekannte und unbekannte Angriffsmethoden, aber es gibt einige Maßnahmen, die Sie ergreifen können, um Ihre Chancen zu verringern, kompromittiert zu werden:

  • Es versteht sich von selbst, dass Sie Ihr Telefon mit einer PIN oder vorzugsweise einem starken Passwort schützen müssen.
  • Aktualisieren Sie Ihr Betriebssystem regelmäßig.
  • Deinstallieren Sie Anwendungen, die Sie nicht verwenden, um die Angriffsfläche zu minimieren. Es ist bekannt, dass Facetime, Apple Music, Mail und iMessage für die Pegasus-Infektion anfällig sind, aber wahrscheinlich verwenden Sie zumindest ein paar davon.
  • Starten Sie Ihr Telefon mindestens einmal am Tag neu, da dies die Spyware aus dem Arbeitsspeicher löschen und die ordnungsgemäße Funktionsweise des Telefons erschweren kann.
  • Klicken Sie nicht auf Links in Nachrichten von unbekannten Nummern, auch nicht, wenn Sie eine Paketzustellung erwarten.

Wir hoffen, Ihnen mit unserem Beitrag weitergeholfen zu haben. Haben Sie Fragen dazu oder brauchen Sie Hilfe? Wir beraten Sie gerne!