Het gaat om geavanceerde spyware voor iOS, zoals Pegasus, Reign en Predator. De onderzoekers van Kaspersky ontdekten dat Pegasus infectiesporen achterlaat in het systeemlogboek Shutdown.log. Dit logbestand bewaart informatie over elke herstart van het toestel. Afwijkingen die door de Pegasus-malware zijn veroorzaakt worden zichtbaar in het logboek na het opstarten van de iPhone. De analyse hiervan blijkt licht en eenvoudig te doen. Met de Mobile Verification Toolkit (MVT) van Kaspersky is te achterhalen of er indicatoren zijn die wijzen op besmetting.
Reign-spyware
De Pegasus-spionagesoftware van het Israëlische bedrijf NSO is alom bekend. Veel lekken die het gebruikten zijn in iOS 16.6.1 opgelost. Het wordt voornamelijk gebruikt door overheidsinstanties en geheime diensten, om de telefoons van prominente personen af te luisteren.
Reign dook in 2023 op en wordt eveneens gemaakt door een Israëlisch bedrijf, namelijk QuaDream. De software gebruikt een kwetsbaarheid die bekend staat als ‘Endofdays’, oftewel ‘einde der dagen’. Als de software in een iPhone is binnengedrongen, staat het toestel onder volledige controle. Alles van de microfoon of camera kan gezien en beluisterd worden, wachtwoorden kunnen uit je sleutelhanger gehaald worden en hackers kunnen tweefactorcodes genereren om andere accounts binnen te dringen. De spyware wist alle sporen, zodat het moeilijk te detecteren is. Maar Kaspersky zegt daar nu toch in te zijn geslaagd. Overigens vonden de aanvallen met Reign vooral tussen 2019 en 2021 plaats. Apple zegt dat er geen aanwijzingen zijn dat de exploit sinds 2021 niet meer is gebruikt. Het is waarschijnlijk opgelost in de iOS 14.8-update.
Predator-spyware
Predator werd eind 2021 voor het eerst door onderzoekers van Citizen Lab aangetroffen. Het is te vergelijken met Pegasus-spyware: als het via een zeroday-exploit op de iPhone terecht is gekomen kan Predator gesprekken via de microfoon en oordopjes afluisteren. Zowel Google als Citizen Lab hebben bevestigd dat Predator werd gebruikt om de telefoon van een Egyptische presidentskandidaat en ruim 90 Griekse politici af te luisteren. Predator is ontwikkeld door een bedrijf uit Noord-Macedonië met geld uit de Israëlische defensieindustrie. Het spywarebedrijf staat op de lijst van aanbieders waar Amerikaanse bedrijven geen zaken mee mogen doen. Apple bracht in september 2023 de iOS 17.0.1-update uit om de kwetsbaarheden die Predator gebruikt, te fixen.
Kaspersky stelt iShutdown-scanner beschikbaar
De aanschaf van deze spyware is vrij prijzig, waardoor het vooral wordt gebruikt om prominente personen af te luisteren, zoals politici en activisten. Behoor je tot die doelgroep en wil je weten of je besmet bent, dan heeft Kaspersky’s Global Research and Analysis Team (GReAT) de oplossing voor je. De iShutdown-tool is te downloaden van Github en bestaat uit drie Python3-scripts die je eenvoudig kunt uitvoeren. Elk van de drie scripts voert een andere actie uit en controleert op infectiesporen, die volgens het Kaskersky-team voldoende aanwijzingen bevatten dat er sprake is van een besmetting. Volgens Mocht dat het geval zijn, dan kun je het beste professionele hulp van een securitybedrijf inschakelen. Behoor je niet tot de doelgroep maar ben je gewoon benieuwd of jij besmet bent, dan kun je de tool natuurlijk ook proberen. Hij is beschikbaar voor macOS, Windows en Linux, maar is uiteraard bedoeld om je iPhone en iPad te scannen.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 4 reacties