Infektion mit Israelischer Spionagesoftware Pegasus erkennen Pegasus-Malware auch für iOS eine Gefahr

Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit der Spionagesoftware Pegasus werden zahlreiche Geräte durch Geheimdienste ausgespäht, auch von herkömmlichen Benutzern. Wir zeigen, wie die Software erkannt und entfernt werden kann.

Firmen zum Thema

Journalisten, Menschenrechtsaktivisten, Anwälte, Politiker, Oppositionelle, Staats-Oberhäupter, aber auch normale Anwender können Opfer der Spionagesoftware „Pegasus“ werden.
Journalisten, Menschenrechtsaktivisten, Anwälte, Politiker, Oppositionelle, Staats-Oberhäupter, aber auch normale Anwender können Opfer der Spionagesoftware „Pegasus“ werden.
(© Romain TALON - stock.adobe.com)

Mit dem Projekt Pegasus des israelischen Unternehmens NSO Group spähen Geheimdienste weltweit die Endgeräte von Benutzern aus. Anfällig sind vor allem iOS-Geräte, also iPhones und iPads, aber auch Android-Smartphones und -Tablets. Die Sicherheitslücken, die Pegasus in iOS nutzt, sind Stand Juli 2021 noch offen. Das heißt, auch aktuelle iOS- und Android-Geräte sind immer noch anfällig für die Angriffe durch Pegasus. Auch iOS 14.6 ist komplett wehrlos gegen die Angriffe, das gilt auch für aktuelle Android-Versionen.

Für die Verwendung von Pegasus ist eine Serverlösung notwendig. Diese wird durch NSO bei verschiedenen Cloudanbietern betrieben. Amazon hat bei AWS mittlerweile die Konten von NSO gesperrt. Das bedeutet aber nicht, dass das Unternehmen nicht bei anderen Stellen Server betreibt.

Das müssen Sie zu Pegasus wissen

Derzeit ist ein umfassender und sicherer Schutz vor Pegasus faktisch nicht möglich. Derzeit sind noch keine Angriffe aus Deutschland identifiziert. Auf der Seite von Netzpolitik.org sind Informationen zu den Ländern zu finden, in denen Angriffe stattgefunden haben. Allerdings hat NSO auch beim Bundeskriminalamt im Jahr 2017 das Produkt vorgestellt. Im Jahr 2019 hatte das Unternehmen einen Termin bei Joachim Herrmann, dem bayerischen CSU-Innenminister. Es gab zwar anscheinend Begeisterung für das Produkt, es fand (bisher) aber noch kein Kauf statt.

Pegasus kann auf einem Smartphone Zugriff auf alle Daten vornehmen. Auch die Verwendung von sicheren Messengern wie Signal ist in diesem Fall kein Schutz, da sich die Malware bereits auf dem Smartphone befindet. Auch Verschlüsselungstechnologien bieten keinerlei Schutz, da Pegasus auch die Eingaben überwacht.

Die NGO Amnesty International hat mit forensischen Methoden entdeckt, dass viele Journalisten mit der Malware überwacht werden. Dahinter stecken Geheimdiensten, Behörden und andere Angreifer, die unberechtigt die Malware zum Ausspionieren von unschuldigen Bürgern nutzen.

iOS wird durch Pegasus zum Verbündeten von Geheimdiensten

Journalisten, Menschenrechtsaktivisten, Anwälte, Politiker, Oppositionelle, Staats-Oberhäupter, aber auch normale Anwender können Opfer der Schadsoftware werden. Dabei fällt es bei der Verwendung nicht auf, wenn Behörden oder andere Angreifer das System überwachen. Es gibt aber Möglichkeiten die Malware zu erkennen und zu beheben. Im Fokus von Pegasus stehen drei Schwachpunkte in iOS, die über das Versenden einer SMS und der Ausführung eines Links ausgenutzt werden kann.

In aktuellen Pegasus-Versionen ist es nicht mal mehr notwendig, dass ein Anwender den Link anklickt, dass sich Pegasus auf dem Endgerät installiert. Auch iMessage oder Twitter sind grundsätzlich Einfallstore. Die Anwender müssen den jeweiligen Link nur anklicken, um Pegasus zu starten (Zero-Click). Die SMS und iMessage-Nachrichten müssen außerdem für den jeweiligen Anwender nicht unbedingt sichtbar sein.

Nach Aktivierung von Pegasus auf einem Endgerät haben die Angreifer Zugriff auf alle Daten eines iOS-Gerätes. Dazu gehören Chats, Telefonate, Fotos und auch der Zugriff auf Mikrofon und Kamera.

Was hilft auf iPhones gegen Pegasus

Einige Sicherheitsspezialisten sind der Meinung, dass Pegasus bei einem Kaltstart des iPhones auf dem System entfernt wird. Zuvor sollten Anwender iMessage und Facetime auf dem iPhone deaktivieren. Durch den Neustart wird Pegasus entfernt. Aber auch das Ausschalten von Facetime und iMessage stellt nicht sicher, dass auf dem Telefon keine neue Infektion stattfinden kann.

Mobile Verification Toolkit – Infektion mit Pegasus erkennen

Mit der Open Source Mobile Verification Toolkit können erfahrene ITler überprüfen, ob ein Smartphone mit Pegasus infiziert wurde. Mit dem MVT lassen sich iOS-Geräte genauso untersuchen, wie Android-Smartphones und -Tablets. Es gibt für das MVT keine grafische Oberfläche, die Verwendung erfolgt im Terminal von Linux oder macOS.

Bildergalerie

Das MVTZ nutzt normalerweise vorhandene Backups von Android oder iOS und durchsucht diese nach „Indicators Of Compromise“ (IOC). Diese IOCs sind anschließend Anzeichen dafür, dass sich Pegasus auf dem Gerät befindet oder befunden hat. Solche IOCs sind zum Beispiel Domain-Adressen des Unternehmens NSO Group.

Auf infizierten Telefonen könnte sich dieser Domain-Name in einer SMS oder einer E-Mail befinden. Es gibt zahlreiche IOCs, die durch Amnesty International zur Verfügung gestellt werden. Diese kann MVT einlesen und danach Scans mit den IOC-Daten durchführen.

Die Installation kann auf Linux und macOS erfolgen. Für die Installation auf einem Linux-Computer sind folgende Befehle notwendig:

sudo apt install python3 python3-pip libusb-1.0-0 pip install mvt

Die Installation kann auch über das Kopieren der Installationsquellen erfolgen:

git clone https://github.com/mvt-project/mvt.gitcd mvtpip3 install

Auf macOS erfolgt die Installation der Vorausetzungen mit:

brew install python3 libusb

Danach lassen sich mit dem Toolkit iOS-Geräte und Android-Geräte untersuchen. Dazu stehen die beiden Befehle „mvt-ios“ und „mvt-android“ zur Verfügung. Für die beiden Befehle gibt es verschiedene Optionen, mit denen die Untersuchung stattfindet. Für „mvt-ios“ sind folgende Optionen wichtig:

  • check-backup - Artefakte aus einem iTunes-Backup extrahieren
  • check-fs - Extrahiert Artefakte aus einem vollständigen Dateisystem-Dump
  • check-iocs - Vergleicht gespeicherte JSON-Ergebnisse mit bereitgestellten Indikatoren
  • decrypt-backup - Entschlüsseln eines verschlüsselten iTunes-Backups

Android-Geräte werden mit „mvt-android“ untersucht. Dazu werden folgende Befehle genutzt:

  • check-backup - Überprüfen eines Android-Backups
  • download-apks - Alle oder nicht gelistete installierte APKs herunterladen

Wer sich umfassend mit dem Thema auseinandersetzen will, findet in der Dokumentation eine Hilfe zu den verschiedenen Optionen.

(ID:47532074)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist