Staatstrojaner: Kaspersky teilt Tool zur Erkennung von Pegasus auf iPhones
Wenn ein Smartphone mit einem Staatstrojaner infiltriert wurde, bekommt der Besitzer davon in der Regel nichts mit. Für die von der israelischen NSO Group entwickelte Spyware Pegasus muss das aber nicht so bleiben. Sicherheitsforscher von Kaspersky haben Skripte veröffentlicht, die bei der Erkennung infizierter iPhones helfen.
Ein Systemprotokoll liefert Hinweise
Die Pegasus-Spyware ist hierzulande keine Unbekannte. Auch deutsche Behörden setzen diese Überwachungssoftware als sogenannten Staatstrojaner ein. Kaspersky konnte nach eigenen Angaben in den letzten Jahren einige Erfahrungen mit infizierten iPhones sammeln. Diese haben es dem russischen Anbieter von Sicherheitssoftware ermöglicht, ein Tool zu entwickeln, das Anwendern dabei hilft, eine Pegasus-Infektion ihrer iOS-Geräte zu erkennen.
Dreh- und Angelpunkt der Erkennung ist ein Systemprotokoll mit der Bezeichnung Shutdown.log. Dort werden beim Neustart eines iPhones unter Angabe von Zeitstempeln allerhand Informationen eingetragen – auch solche über beendete Prozesse. Pegasus hinterlasse dort ebenfalls Spuren, erklären die Forscher in ihrem Bericht. Protokollierte Einträge reichten teilweise mehrere Jahre zurück.
Spionagesoftware hinterlässt Spuren
Auffällig ist den Forschern zufolge beispielsweise, dass der Dateipfad, von dem aus Pegasus im Falle einer Infektion üblicherweise operiert, in der Shutdown.log wiederholt auftaucht. „Die Ausführung der Malware von /private/var/db/ aus scheint bei allen Infektionen, die wir gesehen haben, gleich zu sein, auch wenn die Prozessnamen unterschiedlich sind“, heißt es in dem Bericht der Kaspersky-Forscher.
Dies sei aber ebenso bei der Predator-Spyware von Intellexa der Fall – ebenfalls eine von verschiedenen Regierungsbehörden für die Überwachung von iPhones eingesetzte Spionagesoftware. Diese operiere in der Regel von dem Pfad /private/var/tmp/ aus. Auch in diesem Fall scheint die Protokolldatei Shutdown.log also nützlich zu sein, um Infektionen zu erkennen.
Die Sache hat jedoch einen Haken: Damit eine Infektion zuverlässig erkannt werden kann, sind Neustarts erforderlich. Nur wer sein iPhone regelmäßig neu startet, sorgt dafür, dass die Shutdown.log mit den erforderlichen Informationen gefüllt wird. Die genaue Häufigkeit der erforderlichen Neustarts hängt jedoch laut Kaspersky vom jeweiligen Gefährdungsprofil des Anwenders ab. „Alle paar Stunden, jeden Tag oder vielleicht bei wichtigen Ereignissen; wir lassen diese Frage offen“, so die Forscher.
Drei Skripte unterstützen die Analyse
Das Erkennungstool besteht aus drei verschiedenen Python-Skripten, die Kaspersky via GitHub veröffentlicht hat. Eines davon heißt iShutdown_detect und ist für die Analyse der Protokolldatei Shutdown.log zuständig. Das Skript analysiere die Datei im Hintergrund und zeige darin entdeckte Anomalien an, erklären die Forscher. Es sei jedoch lediglich zur Unterstützung einer Untersuchung gedacht, nicht als Allheilmittel.
Ein zweites Skript namens iShutdown_parse hilft dem Nutzer dabei, die Shutdown.log zu extrahieren und in ein gut lesbares Format zu transformieren. Es liefert eine CSV-Datei zurück, die die Protokolleinträge inklusive Hashes und Zeitstempel enthält. Das letzte Skript mit der Bezeichnung iShutdown_stats erlaubt es dem Nutzer schließlich, aus der Protokolldatei Informationen über durchgeführte Neustarts auszulesen. Daraus gehe beispielsweise hervor, wann das untersuchte iPhone zuletzt neu gestartet wurde oder wie viele Neustarts pro Monat durchgeführt wurden, heißt es in der Beschreibung auf GitHub.