Wie erkennt man Pegasus-Spyware auf iOS und Android?

Pegasus ist seit einigen Wochen in den Schlagzeilen der großen Medien und hat brennende Fragen wie Meinungsfreiheit und Datenschutz wieder aufgeworfen. Der Hype um Pegasus ist durchaus berechtigt: Es handelt sich um eine der leistungsfähigsten und im Verborgenen arbeitenden Software in ihrer Nische. Da immer mehr Zeugen ihre Pegasus-Erfahrungen gestehen, wollen die Menschen nun wissen, wie sie Pegasus-Spyware überprüfen können und welche Sicherheitsmaßnahmen sie ergreifen müssen, um ihre privaten Daten zu schützen.

In diesem Artikel gehen wir darauf ein:

Was ist Pegasus?

Pegasus ist eine nachrichtendienstliche Überwachungslösung, die Regierungen bei der Bekämpfung von Terrorismus und Kriminalität helfen soll, so die NSO Group, eine in Israel ansässige Tech-Agentur, die diese Software entwickelt hat.

In den falschen Händen ist Pegasus jedoch nichts anderes als eine Spionagesoftware, die hochsensible persönliche Daten von den Mobilgeräten der Zielpersonen abgreift.

Der Grund, warum die Software nach einer Kreatur aus der griechischen Mythologie benannt wurde, liegt in ihrer Fähigkeit, aus der Ferne, buchstäblich über die Luft, installiert zu werden. Letzteres ist das besondere Merkmal von Pegasus, denn die meisten Schadprogramme erfordern eine Art von Benutzerinteraktion, z. B. das Anklicken eines Links oder einer Schaltfläche.

Wie funktioniert Pegasus?

Laut der offiziellen Produktdokumentation von Pegasus kann die Software entweder aus der Ferne installiert oder direkt in das Telefon der Zielperson injiziert werden.

Ferninstallation

Für diese Methode der Injektion von Pegasus ist die Telefonnummer oder die E-Mail-Adresse der Zielperson erforderlich; zum Starten der Installation ist jedoch keine oder nur eine minimale Benutzeraktivität erforderlich. Letzteres kann über durchgeführt werden:

• Over-the-Air (OTA). Der Name dieser Technik ist durchaus metaphorisch und spielt auf die Ähnlichkeit des Spyware-Übertragungsmodus mit dem mühelosen Flug des geflügelten Pferdes aus dem antiken Griechenland an. Die genaue technische Umsetzung ist ein Geschäftsgeheimnis, doch genau diese Eigenschaft unterscheidet Pegasus von einer Reihe ähnlicher Lösungen. Die OTA-Methode stützt sich höchstwahrscheinlich auf Zero-Day- und Zero-Click-Schwachstellen. Dabei nutzt der Bedrohungsagent die Telefonnummer oder E-Mail des Opfers, um eine Push-Nachricht zu senden, die das Gerät zur Installation von Pegasus veranlasst. Der gesamte Prozess läuft im Verborgenen ab, ohne dass der betroffene Benutzer etwas unternimmt. Die Installation wird abgeschlossen, ohne dass das Ziel durch eine Benachrichtigung gestört wird, so dass es von dem Eindringen nichts mitbekommt.
• Social-Engineering-Botschaft. Diese Technik ist bei Cybersecurity-Experten und in der breiten Öffentlichkeit bekannt. Eine sorgfältig gestaltete SMS oder E-Mail wird an die Zielperson gesendet. Ihr Inhalt verleitet die Person dazu, sie zu öffnen und auf einen bösartigen Link zu klicken. Nach einem erfolgreichen Klick, ob versehentlich oder absichtlich, startet Pegasus die Installation, wiederum in aller Stille.

Physische Installation

Pegasus kann auch manuell installiert werden, und der gesamte Vorgang dauert etwa fünf Minuten. Natürlich ist diese Methode ohne physischen Zugriff auf das Telefon der Zielperson nicht möglich. Nach der Installation kann das Gerät aus der Ferne überwacht werden, genau wie in den oben genannten Fällen.

Datenverwaltung

Alle Daten, die Pegasus sammelt, werden in einem verschlüsselten und gut versteckten Puffer gespeichert. Um den Prozess der vorübergehenden Datenspeicherung zu verschleiern, verbraucht der Puffer nicht mehr als 5 % des Telefonspeichers – ein recht geringer Prozentsatz, der beim Benutzer keinen Verdacht erregen dürfte. Außerdem wird der Puffer gelöscht, sobald die Daten erfolgreich an den Server übertragen wurden.

Welche Daten kann Pegasus erbeuten?

Pegasus ist zweifellos eine sehr leistungsfähige und hochgradig invasive Spionage-Software. Mit Null-Klick-Attacken, sei es eine ungeöffnete iMessage oder ein unbeantworteter FaceTime- oder WhatsApp-Anruf, kann es in die Zielgeräte auf die heimlichste Weise eindringen.

Einmal eingedrungen, kann Pegasus sofort alle verfügbaren Daten extrahieren und in Echtzeit überwachen, wie zum Beispiel:

• SMS
• Emails
• Instant Messenger Chats (einschließlich verschlüsselter Chats wie Signal oder Telegram)
• Kalendereinträge
• Browsing-Verlauf und gespeicherte Favoriten
• Standortverfolgung (GPS und Cell-ID)
• Geräteinformationen (Modell, Netzwerk, Verbindung, Batteriestand usw.)

Pegasus kann das Gerät auch bitten, eine Reihe anderer Anfragen zu erfüllen, wie z. B.:

• GPS für die Datenerfassung einschalten und gleich danach wieder ausschalten
• Einschalten des Mikrofons und Starten der Aufnahme (im Idle-Modus)
• Anrufe aufzeichnen
• Abrufen von Dateien und Ordnern
• Fotos von der vorderen und hinteren Kamera aufnehmen (im Idle-Modus, ohne Blitzlicht, die Bildqualität kann für eine schnellere Übertragung angepasst werden)
• Bildschirmfotos aufnehmen

Opfer von Pegasus-Spionageprogrammen

Pegasus ist kein neues Phänomen. Es ist schon lange in Arbeit, und das erste Mal, dass die Welt es entdeckte, geht auf das Jahr 2016 zurück, als ein fehlgeschlagener Versuch, das iPhone eines Menschenrechtsaktivisten zu knacken, weitere Untersuchungen und einen Anstieg der Medienberichterstattung auslöste.

Seitdem war Pegasus noch mehrmals in den Nachrichten zu sehen. So berichteten mexikanische Journalisten im Jahr 2017 über 70 Pegasus-Injektionsversuche. Im Jahr 2019 verklagte WhatsApp NSO, weil es die Sicherheitslücke in seinem Instant Messenger ausgenutzt hatte, um die Geräte von WhatsApp-Nutzern zu hacken.

Im Jahr 2021 steht Pegasus wieder im Rampenlicht und weckt Bedenken hinsichtlich der Pressefreiheit und des Überwachungsmissbrauchs durch Geheimdienste weltweit.

Wie erkennt man Pegasus-Spyware auf iOS und Android?

Obwohl Pegasus keine Bedrohung für den durchschnittlichen Mobilfunknutzer darstellt – zum einen kostet diese Art von Kampagne Millionen von Dollar
Dollar kostet – ist es immer eine gute Idee, sich über die neuesten Sicherheitslösungen auf dem Laufenden zu halten.

Stalkerware führt in der Regel dazu, dass sich Ihr Mobiltelefon auf merkwürdige Weise verhält. Wenn Sie aufmerksam genug sind, werden Sie in der Lage sein, einige Warnsignale zu erkennen, wie z. B.:

• Unerwartete Benachrichtigungen oder Anrufe
• Entladung des Akkus
• Erhöhter Speicherverbrauch
• Unzumutbare Überhitzung
• Unregelmäßige Abschaltungen und Neustarts
• Verlängerte Ausschaltzeit oder Schwierigkeiten beim Neustart des Geräts
• Langsame Leistung
• Dateien mit ungewöhnlichen Erweiterungen
• Ungewöhnliche Geräusche bei Anrufen
• Bildschirm leuchtet im Standby-Modus auf
• Verdächtige Anwendungen, an deren Installation und Verwendung Sie sich nicht erinnern können

Das Problem besteht jedoch darin, dass die Spyware-Entwickler diese Anzeichen sehr gut kennen und ihre Angriffsstrategien ständig weiterentwickeln, um jegliche Spuren von Malware auf Ihrem Gerät zu verwischen. So verursacht Pegasus beispielsweise einen minimalen Batterieverbrauch und stellt die Datenübertragung ein, wenn der Ladestand unter 5% fällt.

Hier stellt sich also die Frage, wie man Pegasus-Spyware erkennen kann. Es ist leicht, verwirrt zu werden und schließlich in der Fülle der modernen Sicherheitsanwendungen unterzugehen. Wir werden die Sache für Sie aufschlüsseln und uns nur auf die Apps konzentrieren, die speziell dafür entwickelt wurden, Spuren von Pegasus-Spyware auf Mobiltelefonen zu erkennen.

Toolkit für mobile Verifizierung

Diese App wurde von Amnesty International, einer Menschenrechtsorganisation mit über zehn Millionen Mitgliedern weltweit, veröffentlicht. Die Organisation sammelt seit mehreren Jahren Informationen über die Pegasus-Spionagesoftware und nutzte die Ergebnisse ihrer Untersuchung, um eine Sicherheits-App zu entwickeln, die eine forensische Analyse von iOS- und Android-Geräten durchführt.

Der Quellcode von MVT ist für die Allgemeinheit zugänglich und kann daher als Open Source betrachtet werden, auch wenn die Lizenz einige Nutzungsbeschränkungen vorsieht, hauptsächlich um Fälle von gegnerischer Forensik zu verhindern. Dies bedeutet, dass das Tool nur verwendet werden kann, wenn die Person, deren Telefon gescannt werden soll, ihr Einverständnis gegeben hat.

Derzeit hat MVT keine grafische Benutzeroberfläche, was bedeutet, dass es einige Kenntnisse über Befehlszeilen-Tools erfordert. Außerdem ist das Tool in erster Linie für Experten für forensische Analysen und Ermittler gedacht, so dass technisch nicht versierte Benutzer immer noch auf die Hilfe von Fachleuten angewiesen sind.

Wenn Sie jedoch ein technisch versierter Benutzer sind, der das Tool erforschen möchte, finden Sie hier die MVT-Dokumentation zur Installation und Ausführung des Tools.

MVT Eigenschaften

MVT kann nur unter Linux und Mac ausgeführt werden, so dass Windows-Benutzer auch das Windows-Subsystem für Linux installieren müssen, um es nutzen zu können.

Obwohl MVT zum Scannen von iOS- und Android-Telefonen verwendet werden kann, zeigt es bessere Ergebnisse für Apple-Geräte, und seine Android-Funktionalität ist ziemlich begrenzt.

Hier sind die wichtigsten Dinge, die Sie mit MVT tun können, um Ihre forensische Analyse zu erleichtern:

• Decode encrypted iOS data
• Process and parse data from multiple iOS apps and the system database
• Retrieve info on installed Android apps
• Use adb protocol to retrieve diagnostic info from the Android device
• Scan the extracted records for the presence of malicious indicators in STIX2 format
• Create a chronological timeline of all the retrieved records
• Create a chronological timeline of suspicious artifacts and potentially hazardous traces

MVT-Herausforderungen

Noch einmal: MVT ist kein Tool, mit dem man herumspielen sollte, da eine unsachgemäße Verwendung zum Verlust persönlicher Daten oder zur Verschlechterung der Geräteleistung führen kann. Wenn zum Beispiel die Erstellung eines iTunes- oder Finder-Backups nicht zum gewünschten Ergebnis führt, wäre ein Jailbreaking des Telefons der nächste Schritt, den man unternehmen sollte. Letzteres ist jedoch nicht zu empfehlen, wenn Sie das iPhone wieder verwenden möchten.

Alles in allem sind dies die Faktoren, die vor der Verwendung von MVT zu berücksichtigen sind:

• Falschmeldungen sind häufig (hier ist der Rat eines Experten gefragt, um die Warnungen zu filtern)
• Der Zugriff auf das gesamte Dateisystem erfordert einen Jailbreak
• Nicht jedes iPhone oder jede iOS-Version ist für einen Jailbreak geeignet
• Jailbreaking kann einige Datensätze verunreinigen oder zu Fehlfunktionen des Geräts führen
• Android-Prüfungen sind auf die Analyse von APKs und SMS beschränkt
• Das Tool ist für Nicht-Techniker schwer zu bedienen

iVerify 20.0

Laut Ryan Stortz, Head of Product bei Trail of Bits, warnt Sie die neueste Version von iVerify jetzt vor Spuren von Pegasus-Spyware auf Ihrem Telefon.

Eingebetteter Tweet

Im Gegensatz zu MVT handelt es sich bei iVerify um eine proprietäre, verbraucherorientierte Software, d.h. sie verfügt über eine einfach zu bedienende Benutzeroberfläche und ein Admin-Panel. Das Produkt bietet zwei Pläne an – einen für Unternehmen und einen für die individuelle Sicherheit, die im App Store erhältlich sind.

Für Unternehmen ist iVerify abonnementbasiert und kostet monatlich 3 US-Dollar pro Benutzer, während Privatpersonen die App mit einem einmaligen Kauf für 2,99 US-Dollar erhalten können.

iVerify Eigenschaften

Wie jede andere Anwendung aus dem Bereich der Cybersicherheit kann auch iVerify keinen 100-prozentigen Schutz garantieren. Die App führt alle zehn Minuten Sicherheitsprüfungen durch, um das System des Telefons auf Anzeichen von Jailbreaks und Infektionen zu untersuchen. Sie achtet zum Beispiel auf bekannte schädliche Dateien oder verdächtige Ordner und URL-Handler, die dort gar nicht erst hätten sein dürfen.

Werfen wir einen Blick auf einige der Hauptfunktionen der App:

• Geräte-Scans, um sicherzustellen, dass alle wichtigen Einstellungen richtig konfiguriert sind
• Schutzleitfäden, die den Benutzern zeigen, wie sie mehrere Sicherheitsebenen implementieren können
• Threat Detection, um auf Sicherheitswarnungen in Echtzeit zu reagieren
• Gesicherte Konten zur Überprüfung der Sicherheit von Social-Media-Plattformen und Dienstkonten
• Secured Browsing zum Schutz Ihrer Privatsphäre bei der Suche

Wenn Sie sich also jemals gefragt haben: “Wie finde ich Spyware auf meinem Telefon?”, wissen Sie sofort, welche kostengünstige und zuverlässige App Sie verwenden können.

Für Unternehmensnutzer gibt es außerdem mehrere exklusive Funktionen, wie z. B. ein Risikoanalyse-Dashboard für unmittelbare Einblicke in das gesamte Unternehmen, einen nahtlosen Benutzerimport aus Okta, GSuite oder Azure AD und ein Admin-Panel zur Verwaltung von Geräten.

iVerify-Herausforderungen

Wie bereits erwähnt, ist iVerify für Endnutzer konzipiert, d. h. es sind keine besonderen technischen Vorkenntnisse erforderlich, um das Programm zu installieren und seine unmittelbaren Vorteile zu nutzen. Gleichzeitig befindet sich das Produkt noch in der Entwicklung und weist einige Mängel auf, wie z. B.:

• Integrationen für die Mitgliederverwaltung sind begrenzt (Okta für SSO, GSuite, Azure AD)
• Die Android-Unterstützung steht noch aus
• iVerify kann nicht feststellen, ob bestimmte Apps installiert sind
• iVerify scannt keine Netzwerkdaten

Andere Spyware wie Pegasus

Pegasus ist nicht die einzige Spyware, die in das Auge des Sturms geraten ist. Wenn wir uns an Google wenden und tiefer nach Pegasus-Alternativen suchen, werden wir im Handumdrehen mehrere weitere Optionen entdecken. Und wir sprechen hier nicht von “Massenmarkt”-Spyware wie Spyera, XNSPY oder FlexiSPY. Die letztgenannten Lösungen sind in erster Linie für die elterliche Kontrolle, die Überwachung von Mitarbeitern oder paranoide Ehepartner gedacht. Außerdem können sie nicht aus der Ferne installiert werden, da sie eine manuelle Installation erfordern und einige Funktionen einen Jailbreak oder Root-Zugang voraussetzen können.

Wenn wir von Überwachungsinstrumenten mit landesweiter oder globaler Wirkung sprechen, können wir einige nennen.

FinFisher

FinFisher, auch bekannt als FinSpy, ist eine Software für Cyber-Ermittlungen, die 2008 von einem in Deutschland ansässigen IT-Unternehmen entwickelt wurde. Laut der offiziellen Website bietet das Unternehmen seine Dienste ausschließlich für Strafverfolgungsbehörden und Nachrichtendienste an und hat es sich zur Aufgabe gemacht, das organisierte Verbrechen zu bekämpfen.

FinSpy ist eine plattformübergreifende Lösung, die Windows-, macOS-, Linux-, iOS- und Android-Systeme infiziert. Um FinSpy in ein iOS-Gerät einzuschleusen, müsste der Bedrohungsagent das Betriebssystem zunächst manuell jailbreaken, und erst dann könnte er die Spyware installieren. Die Ferninfektion erfolgt entweder per SMS, E-Mail oder WAP-Push. Was Android betrifft, so ermöglicht FinSpy auch die Nutzung von Root-Rechten auf einem nicht verwurzelten Gerät, indem bekannte Schwachstellen ausgenutzt werden.

FinSpy ähnelt Pegasus insofern, als es auch Informationen von Instant Messengern sammeln kann, einschließlich der als besonders sicher geltenden Messenger Telegram, Signal und Threema. Darüber hinaus kann FinSpy auch VoIP-Anrufe aufzeichnen, sei es über WhatsApp, Skype, WeChat, LINE, Signal oder Viber.

Candiru

Candiru ist eine Spionagesoftware, die von einem in Israel ansässigen Unternehmen entwickelt wurde, das derzeit unter dem Namen Saito Tech Ltd. registriert ist. Zu den Kunden der Spyware gehören vor allem Regierungsorganisationen und autoritäre Führer. Candiru kann Desktop-, Mobil- und Cloud-Benutzer infizieren.

Im Gegensatz zu FinFisher wird Candiru nicht offen vermarktet, und seine Infrastruktur bleibt gut versteckt. Laut der von TheMarker veröffentlichten Beschreibung von Candiru kann die Spyware viele private Daten extrahieren und aktiv überwachen – von Kontakten, SMS und Browserverläufen bis hin zu Dropbox-, Google Drive- und Instant Messenger-Inhalten. Candiru kann auch Anrufe abfangen, die Umgebung aufzeichnen, Screenshots machen und das Wi-Fi-Netzwerk und seine Änderungen anzeigen.

Intellexa

Stellen Sie sich vor, Sie hätten nicht nur eine einzige Spyware-Lösung, sondern ein komplettes Überwachungs-Toolkit, einen One-Stop-Shop für offensive Cybersicherheit. Das ist genau das, was Intellexa zu bieten behauptet.

Intellexa positioniert sich als eine Allianz von Cyber-Intelligence-Organisationen, die auf die Bedürfnisse von Nachrichtendiensten und Strafverfolgungsbehörden zugeschnitten ist. Es hat das Fachwissen von drei Technologieunternehmen – Nexa, WiSpear und Cytrox – vereint, die sich auf das Abfangen von Sensoren und Big-Data-Analysen, Wi-Fi-Überwachungslösungen und die Datenerfassung von Endgeräten bzw. Cloud-Diensten spezialisiert haben.

Wie Sie sich vor Spyware schützen können

Auch wenn Pegasus in vielerlei Hinsicht noch immer ein Rätsel ist, vor allem, was seine technische Realisierung betrifft, können Sie Ihre Privatsphäre und die Integrität Ihrer Daten schützen, wenn Sie bewährte Sicherheitsmaßnahmen und Empfehlungen befolgen.

Hier sind einfache Schritte, die man unternehmen kann, um den Schaden, den Pegasus selbst und Pegasus-ähnliche Spyware anrichten, zu verringern:

• Starten Sie Ihr Telefon neu. Auf diese Weise können Sie Pegasus für einige Zeit außer Betrieb setzen. Dieser Hack gilt nur für iOS-Geräte.
• Gehen Sie zurück zu den Standardeinstellungen. Bevor Sie diesen Schritt ausführen, sollten Sie daran denken, dass beim Zurücksetzen auf die Werkseinstellungen alle persönlichen Daten sowie mögliche Malware-Spuren gelöscht werden. Das Zurücksetzen auf die Werkseinstellungen ist keine Garantie für die Entfernung von Pegasus, zumal eine Datenwiederherstellung immer noch möglich ist.
• Aktualisieren Sie Ihre Software. Halten Sie Ihr Betriebssystem und alle installierten Anwendungen stets auf dem neuesten Stand, um das Risiko zu verringern, dass Zero-Day-Schwachstellen ausgenutzt werden.
• Entfernen Sie verdächtige Geräte. Überprüfen Sie, ob Ihre Instant-Messenger und Online-Konten mit unbekannten Geräten verbunden sind.
• Ändern Sie Passwörter. Schreiben Sie alle auf Ihrem Smartphone gespeicherten Passwörter auf und setzen Sie sie zurück.

Resümee

Die jüngsten Erkenntnisse über die Eindringlichkeit und den subtilen Charakter von Pegasus haben viele von uns veranlasst, ihre Einstellung zur persönlichen und betrieblichen Sicherheit zu überdenken. Pegasus ist zwar eine Angelegenheit von internationalem Interesse, aber wir alle sind dafür verantwortlich, uns zu informieren und die notwendigen Sicherheitskontrollen einzuführen, um unsere Identitäten und Datenintegrität zu schützen. Pegasus ist in vielerlei Hinsicht einzigartig, aber es ist nicht die einzige Spionagesoftware auf dem Markt; zahlreiche andere Anwendungen könnten missbraucht worden sein. Wenn Sie befürchten, dass jemand Sie ausspioniert oder die Sicherheit Ihres Unternehmens nicht gewährleistet ist, sollten Sie sich an einen professionellen Sicherheitsexperten wenden, bevor der Eindringling jeden Ihrer Schritte abhört.

Hatten Sie schon einmal mit Spuren von Spyware auf Ihren Geräten zu tun? Bitte teilen Sie Ihre Erfahrungen in den Kommentaren mit!