In den letzten Jahren, Kommerzielle Spyware wurde von eingesetzt mehr Schauspieler gegen a breiteres Opferspektrumaber das vorherrschende Narrativ ist immer noch, dass die Malware für gezielte Angriffe gegen eine verwendet wird extrem kleine Zahl von Menschen. Gleichzeitig war es jedoch schwierig, Geräte auf Infektionen zu überprüfen, was Einzelpersonen dazu veranlasste, sich einer Ad-hoc-Reihe von akademischen Institutionen und NGOs zuzuwenden, die an vorderster Front bei der Entwicklung forensischer Techniken zur Erkennung mobiler Spyware standen. Am Dienstag ist das Sicherheitsunternehmen für mobile Geräte iVerify Veröffentlichung von Erkenntnissen von einer Spyware-Erkennungsfunktion, die im Mai eingeführt wurde. Von 2.500 Gerätescans, die die Kunden des Unternehmens zur Überprüfung einsendeten, deckten sieben Infektionen durch die berüchtigte Malware der NSO Group namens Pegasus auf.
Die Mobile Threat Hunting-Funktion des Unternehmens nutzt eine Kombination aus Malware-Signatur-basierter Erkennung, Heuristik und maschinellem Lernen, um nach Anomalien in der Aktivität von iOS- und Android-Geräten oder verräterischen Anzeichen einer Spyware-Infektion zu suchen. Für zahlende iVerify-Kunden überprüft das Tool die Geräte regelmäßig auf potenzielle Kompromittierungen. Das Unternehmen bietet jedoch auch eine kostenlose Version der Funktion für alle an, die die iVerify Basics-App für 1 US-Dollar herunterladen. Diese Benutzer können die Schritte zum Generieren und Senden einer speziellen Diagnosedienstprogrammdatei an iVerify durchlaufen und erhalten innerhalb weniger Stunden eine Analyse. Kostenlose Nutzer können das Tool einmal im Monat nutzen. Die Infrastruktur von iVerify ist auf den Schutz der Privatsphäre ausgelegt. Um die Funktion „Mobile Threat Hunting“ ausführen zu können, müssen Benutzer jedoch eine E-Mail-Adresse eingeben, damit das Unternehmen sie kontaktieren kann, wenn bei einem Scan Spyware entdeckt wird – wie es bei den sieben jüngsten Pegasus-Entdeckungen der Fall war .
„Das wirklich Faszinierende ist, dass es sich bei den Zielpersonen nicht nur um Journalisten und Aktivisten handelte, sondern auch um Wirtschaftsführer, Leute, die Wirtschaftsunternehmen leiten, Leute in Regierungspositionen“, sagt Rocky Cole, Chief Operating Officer von iVerify und ehemaliger US-amerikanischer Geheimdienst Analytiker. „Es ähnelt eher dem Zielprofil einer durchschnittlichen Malware oder einer durchschnittlichen APT-Gruppe als der verbreiteten Erzählung, dass Söldner-Spyware missbraucht wird, um Aktivisten ins Visier zu nehmen. Das tut sie auf jeden Fall, aber es war überraschend, diesen Querschnitt der Gesellschaft zu finden.“
Sieben von 2.500 Scans mögen wie eine kleine Gruppe klingen, insbesondere in der eher selbstgewählten Kundenbasis von iVerify-Benutzern, ob zahlend oder kostenlos, die die Sicherheit ihrer Mobilgeräte überhaupt überwachen wollen, geschweige denn gezielt nach Spyware suchen. Aber die Tatsache, dass das Tool bereits eine Handvoll Infektionen entdeckt hat, zeigt, wie weit verbreitet der Einsatz von Spyware weltweit geworden ist. Ein einfaches Tool zur Diagnose von Spyware-Angriffen könnte das Bild darüber, wie oft solche Malware eingesetzt wird, durchaus verdeutlichen.
Laut iVerify waren erhebliche Investitionen erforderlich, um das Erkennungstool zu entwickeln, da mobile Betriebssysteme wie Android und insbesondere iOS stärker gesperrt sind als herkömmliche Desktop-Betriebssysteme und Überwachungssoftware keinen Kernelzugriff auf das Herzstück des Systems ermöglichen. Cole sagt, dass die entscheidende Erkenntnis darin bestand, Telemetriedaten zu verwenden, die so nah wie möglich am Kernel aufgenommen wurden, um Modelle für maschinelles Lernen für die Erkennung abzustimmen. Einige Spyware-Programme wie Pegasus verfügen außerdem über charakteristische Merkmale, die das Markieren erleichtern. Bei den sieben Erkennungen hat Mobile Threat Hunting Pegasus mithilfe von Diagnosedaten, Abschaltprotokollen und Absturzprotokollen erfasst. Laut Cole besteht die Herausforderung jedoch darin, mobile Überwachungstools zu verfeinern, um Fehlalarme zu reduzieren.
Die Entwicklung der Erkennungsfähigkeit war jedoch bereits von unschätzbarem Wert. Cole sagt, dass es iVerify geholfen hat, Anzeichen einer Kompromittierung auf dem Smartphone von Gurpatwant Singh Pannun zu identifizieren, einem Anwalt und politischen Sikh-Aktivisten, der das Ziel eines Angriffs war angeblicher, vereitelter Attentatsversuch von einem indischen Regierungsangestellten in New York City. Die Funktion „Mobile Threat Hunting“ zeigte auch mutmaßliche nationalstaatliche Aktivitäten auf den Mobilgeräten von zwei Harris-Walz-Wahlkampffunktionären – einem hochrangigen Mitglied der Kampagne und einem Mitglied der IT-Abteilung – während des Präsidentschaftswahlkampfs auf.
„Die Zeit, in der man davon ausging, dass iPhones und Android-Telefone sofort sicher sind, ist vorbei“, sagt Cole. „Die Art von Funktionen, um herauszufinden, ob auf Ihrem Telefon Spyware installiert ist, waren nicht weit verbreitet. Es gab technische Hindernisse und viele Menschen blieben zurück. Jetzt können Sie feststellen, ob Ihr Telefon mit kommerzieller Spyware infiziert ist. Und die Rate ist viel höher als das vorherrschende Narrativ.“
