Nieuws

Kaspersky ontwikkelt detectietool voor Pegasus en andere spywaretools

malware-aanval macOS
© iStock / solarseven
Onderzoekers van Kaspersky ontwikkelden een manier om de Pegasus-spyware op te sporen. De methode werkt wel niet altijd.

Over weinig spyware werd zo uitvoerig bericht als over Pegasus. Het spionageprogramma wordt sinds 2014 door de Israëlische NSO Group aangeboden om telefoons binnen te dringen. Op die manier konden verschillende overheden personen afluisteren. Van onder anderen Emmanuel Macron, oppositieleiders in Hongarije en Polen en de vermoorde journalist Jamal Khashoggi is geweten dat de spyware hen in de gaten hield.

Pegasus

De spyware is zo ontworpen dat hij zichzelf, zonder tussenkomst van de gebruiker, activeert. De software maakt daarvoor gebruik van kwetsbaarheden in het iOS-besturingssysteem. Die veiligheidslekken werden inmiddels gedicht, maar software kan natuurlijk altijd aangepast worden. Met Pegasus kunnen hackers de volledige controle van een apparaat overnemen. Of het nu gaat om wachtwoorden, locatiedata, sms’jes, zoekopdrachten of zelfs microfoonopnames: de spyware kan alles verzamelen en daarna ongemerkt doorsturen naar de hackers.

Uitgelicht artikel iOS malware veiligheidsupdate iOS-veiligheidsupdate dicht lek waarlangs Pegasus-spyware binnenkwam

Dat hele proces gaat grotendeels onopgemerkt, wat het niet simpel maakt om te bepalen of je telefoon geïnfecteerd is of niet. Onderzoekers bij Kaspersky hebben daar nu een oplossing voor gevonden: het blijkt dat Pegasus dan tóch sporen achterlaat. Sporen van Pegasus vallen terug te vinden in logbestanden, waar je iOS-apparaat nauwgezet bijhoudt wat er op het apparaat gebeurt.

Shutdown.log

De onderzoekers noemen de sporen in de logboeken een “betrouwbaar forensisch artefact”, waarmee stelselmatig aangetoond kan worden of de spyware actief was. Daar werd dan ook meteen werk van gemaakt. De onderzoekers schreven een aantal Python-scripts die het ellenlange logboek helpen uitlezen. De scripts herkennen bepaalde patronen in de logbestanden en kunnen op basis daarvan bepalen of de spyware op je telefoon actief was.

De ontdekking van de onderzoekers beperkt zich niet tot Pegasus. Ook andere malwaretoepassingen zoals Reign en Predator zouden op eenzelfde manier sporen achterlaten. De controletool van Kaspersky kan dus ook die onuitgenodigde gasten terugvinden. De controletools zijn gratis beschikbaar op GitHub in de vorm van drie Python-scripts. Dat houdt ook in dat je ze op elke computer kan draaien, ongeacht of er Linux, macOS of Windows op staat.

Niet waterdicht

De methode is echter niet waterdicht. In shutdown.log houdt je iOS-apparaat gegevens bij over het afsluiten en opnieuw opstarten van het apparaat. Pegasus en andere malware kan je er maar terugvinden op één voorwaarde: je moet je telefoon minstens 24 uur na de infectie opnieuw hebben opgestart. Deed je dat niet? Dan blijft de infectie onder de rader.

Beveiligingcyberveiligheidkasperskypegasusspyware

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken