Staatstrojaner auf iPhones: Forscher teilen Tool zur Erkennung der Pegasus-Spyware

Sicherheitsforscher von Kaspersky haben ein Tool entwickelt, mit dem sich auf iOS-Geräten mögliche Infektionen mit der von der NSO Group entwickelten und von einigen Regierungsbehörden als Staatstrojaner eingesetzten Pegasus-Spyware erkennen lassen. Ermöglicht wurde die Entwicklung durch mit infizierten iPhones gesammelte Erfahrungen der letzten Jahre, erklären die Forscher in ihrem Bericht.

Dabei habe das Forschungsteam festgestellt, dass Pegasus in einem auf jedem iOS-Gerät erzeugten Systemprotokoll namens Shutdown.log Spuren hinterlasse. Gefüllt werde diese Datei bei Neustarts des jeweiligen Endgerätes. Enthaltene Einträge reichten teilweise mehrere Jahre zurück und lieferten eine Fülle an Informationen, beispielsweise über beendete Prozesse mitsamt zugehörigem Zeitstempel.

Systemprotokoll enthält verdächtige Pfade

Den Forschern fiel bei der Analyse unter anderem auf, dass der Pfad, von dem aus die Spyware in der Regel operiert, in dem Systemprotokoll wiederholt auftaucht. "Die Ausführung von Malware von '/private/var/db/' aus scheint bei allen Infektionen, die wir gesehen haben, gleich zu sein, auch wenn die Prozessnamen unterschiedlich sind", so die Forscher.

Ähnlich sei dies auch bei der von Intellexa vertriebenen Predator-Spyware, die häufig vom Pfad /private/var/tmp/ aus operiere. Shutdown.log ist daher aus Sicht der Kaspersky-Forscher nützlich, um Infektionen mit beiden Malware-Familien zu erkennen.

Damit die Erkennung zuverlässig funktioniere, seien jedoch häufige Neustarts potenziell betroffener iPhones erforderlich. Wie oft diese genau stattfinden müssten, hänge aber vom Gefährdungsprofil des jeweiligen Nutzers ab. "Alle paar Stunden, jeden Tag oder vielleicht bei wichtigen Ereignissen; wir lassen diese Frage offen", erklären die Forscher.

Drei Skripte für die Protokollanalyse

Ihr Erkennungstool stellen die Kaspersky-Forscher in Form dreier Python-Skripte via Github bereit. Das erste Skript heißt iShutdown_detect und dient der Analyse der Shutdown.log-Datei. Es erkennt darin Anomalien und weist den Nutzer darauf hin.

Das zweite Skript haben die Forscher iShutdown_parse genannt. Es erhält ein sysdiag-Archiv als Argument und extrahiert daraus die Protokolldatei Shutdown.log. Die Ausgabe sei eine CSV-Datei, die die Protokolleinträge inklusive Hashes und Zeitstempel in einem lesbaren Format enthalte, heißt es auf Github.

Bei dem letzten Python-Skript handelt es sich um die Datei iShutdown_stats.py. Es extrahiert verschiedene Daten aus der Shutdown.log, um festzustellen, wie oft oder wann Benutzer ihr Telefon neu gestartet haben.