Pegasus: Die neueste Spyware für iOS und Android

Der anspruchsvollste Angriff, der je auf Endgeräten gesehen wurde. Diese modulare Spyware versteckt sich auf Android und iOS.

Apple iPhone und iPad- Nutzer denken normalerweise immer, dass sie sicher sind. Es gibt keine Malware für iOS sagen sie. Apple tut nicht viel um diesem Eindruck entgegenzuwirken – die „Obst-Firma“ erlaubt nicht einmal Anti-Virus Lösungen auf ihrem App Store, weil sie vermeintlich nicht nötig ist.

Das Schlüsselwort hier ist <em>vermeintlich</em>. Aktuell gibt es eine Malware in freier Wildbahn, die iOS-Nutzer angreift. Sie wurde wiederholt nachgewiesen und im August 2016 haben Forscher sie durch die Entdeckung der Existenz von Pegasus erneut bestätigt. Diese Spyware ist fähig <em>jedes</em> iPad oder iPhone zu hacken und Daten des Opfers zu sammeln und eine Überwachung von diesem zu etablieren. Diese Entdeckung führte dazu, dass es der gesamten Welt der Cybersicherheit…unbehaglich wurde.

Auf unserem Security Analyst Summit, haben Forscher von Lookout gezeigt, dass Pegasus nicht nur für iOS sondern auch für Android existiert. Die Android-Version unterscheidet sich in einigen Aspekten von seinem iOS Vorgänger. Lassen Sie uns ein wenig Licht auf Pegasus werfen und erklären, warum wir das Wort „neueste“ benutzen, um diese Malware zu beschreiben.

Pegasus: Der Anfang

Pegasus wurde dank Ahmed Mansoor, einem Menschenrechtsaktivisten aus den Vereinigten Arabischen Emiraten, entdeckt, der selbst Ziel von dieser Malware wurde. Es war ein Spear-Phishing Angriff: Er bekam verschiedene SMS Nachrichten, die Links enthielten, welche er für bösartig hielt. Also sendete er diese Nachrichten an Experten von Citizen Lab, die eine weitere Cybersicherheitsfirma, Lookout, in die Untersuchung einschlossen.

Mansoor sollte Recht behalten. Wenn er die Links angeklickt hätte, wäre sein iPhone mit Malware infiziert worden – Malware für iOS. Für ein nicht gehacktes iOS, um präzise zu sein. Die Malware wurde Pegasus getauft und die Forscher von Lookout definierten sie als den anspruchsvollsten Angriff, den sie je auf einem Endgerät gesehen hatten.

Pegasus wurde der NSO-Gruppe zugeordnet, einem israelischen Unternehmen, dass sein Brot mit der Entwicklung von Spyware verdient. Das bedeutet, dass die Malware kommerziell ist, sie wird an jeden verkauft, der bereit ist dafür zu bezahlen. Pegasus beruht auf den sagenhaften drei Zero-Day (bisher unbekannten) Schwachstellen in iOS, die zuließen, dass diese Malware lautlos in das Gerät einbrechen und Überwachungssoftware installieren konnte. Ein anderes Cybersicherheits-Unternehmen, Zerodium, bot einmal 1 Millionen US-Dollar für einen iOS Zero-Day an, also können Sie sich vorstellen, dass es ein wenig Geld kostet Pegasus anzufertigen.

Die Überwachung betreffend seien wir ehrlich: Wir sprechen hier von einer vollständigen Überwachung. Pegasus ist eine modulare Malware. Nach dem Scannen des Zielgeräts installiert sie die nötigen Module, um die Nachrichten und E-Mails des Nutzers zu lesen, Anrufe abzuhören, Screenshots anzufertigen, gedrückte Tasten zu protokollieren, Browser-Chroniken zu filtern, Kontakte zu erhalten und so weiter und so fort. Im Wesentlichen kann diese Malware jeden Lebensaspekt ihres Opfers ausspionieren.

Es ist außerdem beachtenswert, dass Pegasus sogar verschlüsselte Audio-Streams abhören und verschlüsselte Nachrichten lesen kann. Dank der Keylogger-Funktion und der Fähigkeit, Audios aufzunehmen, konnte Pegasus Nachrichten stehlen bevor sie verschlüsselt wurden (und für eingehende Nachrichten nach ihrer Entschlüsselung).

Ein anderer interessanter Aspekt von Pegasus besteht darin, dass die Malware sich sehr sorgsam versteckt. Sie zerstört sich selbst, wenn sie nicht fähig ist, innerhalb von 60 Tagen mit ihrem Command-und Control (C&C) Server zu kommunizieren oder wenn sie herausfindet, dass sie auf dem falschen Gerät mit der falschen SIM-Karte installiert wurde (denken Sie daran, dass es sich um zielgerichtete Spionage handelt; NSO-Kunden verfolgten keine willkürlichen Opfer).

All die schönen Pferde

Vielleicht haben die Entwickler von Pegasus gedacht, dass sie zu viel in dieses Projekt investiert haben, um es auf eine Plattform zu beschränken. Nachdem die erste Version entdeckt wurde, brauchte man nicht lange, um die zweite zu finden. Auf dem „Security Analyst Summit 2017“ hielten die Experten von Lookout einen Vortrag über Pegasus für Android, auch bekannt als Chrysaor, wie Goggle es nennt. Die Android Version ist ihrer iOS Schwester bezüglich den Fähigkeiten sehr ähnlich, jedoch unterscheiden sie sich bezogen auf die Techniken, die sie verwenden, um ein Gerät anzugreifen.

Pegasus für Android verlässt sich nicht auf Zero-Day Schwachstellen. Stattdessen nutzt diese Malware eine gut bekannte Root-Methode namens Framaroot. Ein weiterer Unterschied: Wenn die iOS Version nicht in das Gerät eindringen kann, scheitert der ganze Angriff. Mit der Android Version verhält es sich jedoch anders: Auch wenn die Malware daran scheitert, den nötigen Root-Zugriff zu bekommen, um die Überwachungssoftware zu installieren, wird sie dennoch versuchen, den Nutzer direkt um die Erlaubnis zu beten, die sie braucht, um wenigstens ein paar Daten zu filtern.

Google behauptet, dass nur wenige Dutzend Android Geräte infiziert worden sind, aber für einen zielgerichteten Cyberspionage Angriff ist das schon viel. Die größte Anzahl von Pegasus auf Android wurde in Israel beobachtet, mit Georgien auf dem zweiten Platz und Mexiko auf dem dritten. Pegasus für Android wurde außerdem in der Türkei, Kenia, Nigeria, den Vereinigten Arabischen Emiraten und anderen Ländern entdeckt.

Wahrscheinlich sind Sie sicher, aber…

Als die Nachrichten über die iOS Version von Pegasus veröffentlicht wurden, reagierte Apple schnell. Das Unternehmen brachte ein iOS Sicherheits-Update heraus (9.3.5), das alle drei zuvor genannten Schwachstellen reparieren sollte.

Das Unternehmen Google, das an der Untersuchung für den Fall der Android Version beteiligt war, nahm einen anderen Weg, indem es potenzielle Pegasus-Opfer direkt informierte. Wenn Sie ihre iOS Geräte auf den letzten Stand der Software gebracht haben und keine Warnmeldung von Google erhalten haben, sind Sie wahrscheinlich sicher und stehen nicht unter der Überwachung von Pegasus.

Allerdings soll das nicht heißen, dass es keine andere, noch unbekannte Spyware für iOS und Android gibt. Und die Existenz von Pegasus hat bewiesen, dass Malware für iOS über schlecht verschlüsselte Adware und Webseiten mit Lösegeldforderungen, die einfach zu blockieren sind, hinausgeht. Es gibt ein paar ernsthafte Bedrohungen in der Wildnis. Wir haben drei einfache Tipps, damit Sie so sicher wie möglich sind:

  1. Nehmen sie sofort ausnahmslos alle Updates vor und achten Sie besonders auf Sicherheits-Updates.
  2. Installieren sie eine gute Sicherheitslösung auf jedem Ihrer Geräte. Es gibt keine für iOS, aber wir hoffen, dass Pegasus Apple zum Nachdenken anregt.
  3. Fallen Sie nicht auf Phishing-Versuche herein, auch wenn es sich um Spear-Phishing handelt, wie im Falle von Ahmed Mansoor. Wenn Sie einen Link von einer unbekannten Quelle erhalten, klicken Sie ihn nicht automatisch an. Denken Sie nach bevor sie klicken – oder klicken Sie einfach überhaupt nicht.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.