Ein Forscherteam eines Cybersicherheitsunternehmens hat behauptet, eine Methode zur Erkennung anspruchsvoller Smartphone-Spyware wie Pegasus gefunden und ein Tool entwickelt zu haben, mit dem Benutzer überprüfen können, ob sich auf ihren Geräten eine Spionage-App befindet.
Forscher aus Kaspersky enthüllte eine neue, leichtgewichtige Methode zur Erkennung von Spyware wie Pegasus sowie der neuen Pegasus-ähnlichen Bedrohungen Reign und Predator durch die Analyse von Shutdown.log, einem bisher unerforschten forensischen System. Das Tool wird öffentlich auf GitHub geteilt und ist für macOS, Windows und Linux verfügbar.
„Die Sysdiag-Dump-Analyse erweist sich als minimal aufdringlich und ressourcenschonend, da sie sich zur Identifizierung von Potenzialen auf systembasierte Artefakte verlässt iPhone Infektionen“, sagte Maher Yamoutleitender Sicherheitsforscher bei Kaspersky’s GReAT.
„Nachdem wir den Infektionsindikator in diesem Protokoll erhalten und die Infektion mithilfe der Verarbeitung anderer iOS-Artefakte durch das Mobile Verification Toolkit (MVT) bestätigt haben, wird dieses Protokoll nun Teil eines ganzheitlichen Ansatzes zur Untersuchung von iOS-Malware-Infektionen“, fügte Yamout hinzu.
Die Times of India Gadgets Now-Auszeichnungen: Geben Sie jetzt Ihre Stimme ab und wählen Sie die besten Telefone, Laptops und anderen Gadgets des Jahres 2023 aus
https://www.gadgetsnow.com/awards/nominations
Wie Experten das Vorhandensein von Spyware entdeckten
Kaspersky-Experten sagten, sie hätten herausgefunden, dass Pegasus-Infektionen Spuren im unerwarteten Systemprotokoll Shutdown.log hinterlassen, das im Sysdiagnose-Archiv jedes mobilen iOS-Geräts gespeichert wird – das Informationen von jeder Neustartsitzung speichert.
Dies bedeutet, dass mit der Pegasus-Malware in Zusammenhang stehende Anomalien im Protokoll sichtbar werden, wenn ein infizierter Benutzer sein Gerät neu startet.
Zu den identifizierten Anomalien gehören Fälle von „Sticky“-Prozessen, die Neustarts verhindern, insbesondere solche im Zusammenhang mit Pegasus, sowie Infektionsspuren, die durch Beobachtungen der Cybersicherheits-Community entdeckt wurden.
Kaspersky-Experten analysierten dann Shutdown.log bei Pegasus-Infektionen und beobachteten einen gemeinsamen Infektionspfad, der Pfade widerspiegelte, die bei Infektionen durch andere iOS-Malware wie Reign und Predator beobachtet wurden. Die Forscher des Unternehmens vermuten, dass diese Protokolldatei das Potenzial birgt, Infektionen im Zusammenhang mit diesen Malware-Familien zu identifizieren.
„Da wir die Übereinstimmung dieses Verhaltens mit den anderen von uns analysierten Pegasus-Infektionen bestätigt haben, glauben wir, dass es als zuverlässiges forensisches Artefakt zur Unterstützung der Infektionsanalyse dienen wird“, fügte Yamout hinzu.
So schützen Sie sich vor fortgeschrittener Spyware auf iPhones
Täglich neu starten: Nach Untersuchungen von Amnesty International und Citizen Lab verlässt sich Pegasus häufig auf Zero-Click-0-Days ohne Persistenz. Regelmäßige tägliche Neustarts können dabei helfen, das Gerät zu bereinigen, sodass Angreifer es immer wieder neu infizieren müssen, wodurch die Wahrscheinlichkeit einer Entdeckung im Laufe der Zeit steigt.
Sperrmodus: Der neu hinzugefügte Sperrmodus von Apple kann auch eine iOS-Malware-Infektion blockieren.
Deaktivieren Sie iMessage und Facetime: iMessage, das standardmäßig aktiviert ist, sei ein attraktiver Angriffsvektor, sagte Kaspersky. Durch die Deaktivierung verringert sich das Risiko, Opfer von Zero-Click-Ketten zu werden. Derselbe Rat gilt für Facetime, das ein weiterer potenzieller Vektor für Ausbeutung sein soll.
Halten Sie das Gerät auf dem neuesten Stand: Installieren Sie die neuesten iOS-Patches zeitnah, da viele iOS-Exploit-Kits auf bereits gepatchte Schwachstellen abzielen.
Vorsicht bei Links: Vermeiden Sie das Klicken auf in Nachrichten erhaltene Links, da Pegasus-Kunden möglicherweise auf 1-Klick-Exploits zurückgreifen, die per SMS, anderen Messengern oder E-Mail übermittelt werden.
Backups prüfen: Die Verarbeitung verschlüsselter Backups und Sysdiagnose-Archive mit MVT und den Tools von Kaspersky kann bei der Erkennung von iOS-Malware hilfreich sein.
Forscher aus Kaspersky enthüllte eine neue, leichtgewichtige Methode zur Erkennung von Spyware wie Pegasus sowie der neuen Pegasus-ähnlichen Bedrohungen Reign und Predator durch die Analyse von Shutdown.log, einem bisher unerforschten forensischen System. Das Tool wird öffentlich auf GitHub geteilt und ist für macOS, Windows und Linux verfügbar.
„Die Sysdiag-Dump-Analyse erweist sich als minimal aufdringlich und ressourcenschonend, da sie sich zur Identifizierung von Potenzialen auf systembasierte Artefakte verlässt iPhone Infektionen“, sagte Maher Yamoutleitender Sicherheitsforscher bei Kaspersky’s GReAT.
„Nachdem wir den Infektionsindikator in diesem Protokoll erhalten und die Infektion mithilfe der Verarbeitung anderer iOS-Artefakte durch das Mobile Verification Toolkit (MVT) bestätigt haben, wird dieses Protokoll nun Teil eines ganzheitlichen Ansatzes zur Untersuchung von iOS-Malware-Infektionen“, fügte Yamout hinzu.
Die Times of India Gadgets Now-Auszeichnungen: Geben Sie jetzt Ihre Stimme ab und wählen Sie die besten Telefone, Laptops und anderen Gadgets des Jahres 2023 aus
https://www.gadgetsnow.com/awards/nominations
Wie Experten das Vorhandensein von Spyware entdeckten
Kaspersky-Experten sagten, sie hätten herausgefunden, dass Pegasus-Infektionen Spuren im unerwarteten Systemprotokoll Shutdown.log hinterlassen, das im Sysdiagnose-Archiv jedes mobilen iOS-Geräts gespeichert wird – das Informationen von jeder Neustartsitzung speichert.
Dies bedeutet, dass mit der Pegasus-Malware in Zusammenhang stehende Anomalien im Protokoll sichtbar werden, wenn ein infizierter Benutzer sein Gerät neu startet.
Zu den identifizierten Anomalien gehören Fälle von „Sticky“-Prozessen, die Neustarts verhindern, insbesondere solche im Zusammenhang mit Pegasus, sowie Infektionsspuren, die durch Beobachtungen der Cybersicherheits-Community entdeckt wurden.
Kaspersky-Experten analysierten dann Shutdown.log bei Pegasus-Infektionen und beobachteten einen gemeinsamen Infektionspfad, der Pfade widerspiegelte, die bei Infektionen durch andere iOS-Malware wie Reign und Predator beobachtet wurden. Die Forscher des Unternehmens vermuten, dass diese Protokolldatei das Potenzial birgt, Infektionen im Zusammenhang mit diesen Malware-Familien zu identifizieren.
„Da wir die Übereinstimmung dieses Verhaltens mit den anderen von uns analysierten Pegasus-Infektionen bestätigt haben, glauben wir, dass es als zuverlässiges forensisches Artefakt zur Unterstützung der Infektionsanalyse dienen wird“, fügte Yamout hinzu.
So schützen Sie sich vor fortgeschrittener Spyware auf iPhones
Täglich neu starten: Nach Untersuchungen von Amnesty International und Citizen Lab verlässt sich Pegasus häufig auf Zero-Click-0-Days ohne Persistenz. Regelmäßige tägliche Neustarts können dabei helfen, das Gerät zu bereinigen, sodass Angreifer es immer wieder neu infizieren müssen, wodurch die Wahrscheinlichkeit einer Entdeckung im Laufe der Zeit steigt.
Sperrmodus: Der neu hinzugefügte Sperrmodus von Apple kann auch eine iOS-Malware-Infektion blockieren.
Deaktivieren Sie iMessage und Facetime: iMessage, das standardmäßig aktiviert ist, sei ein attraktiver Angriffsvektor, sagte Kaspersky. Durch die Deaktivierung verringert sich das Risiko, Opfer von Zero-Click-Ketten zu werden. Derselbe Rat gilt für Facetime, das ein weiterer potenzieller Vektor für Ausbeutung sein soll.
Halten Sie das Gerät auf dem neuesten Stand: Installieren Sie die neuesten iOS-Patches zeitnah, da viele iOS-Exploit-Kits auf bereits gepatchte Schwachstellen abzielen.
Vorsicht bei Links: Vermeiden Sie das Klicken auf in Nachrichten erhaltene Links, da Pegasus-Kunden möglicherweise auf 1-Klick-Exploits zurückgreifen, die per SMS, anderen Messengern oder E-Mail übermittelt werden.
Backups prüfen: Die Verarbeitung verschlüsselter Backups und Sysdiagnose-Archive mit MVT und den Tools von Kaspersky kann bei der Erkennung von iOS-Malware hilfreich sein.