Pegasus: eine Kompromittierung von Android- und iOS-Geräten erkennen

Artikel ansehen

Da bei Android-Smartphones eine Kompromittierung mit Pegasus in der Regel schwerer zu erkennen ist, scannt das MVT-Tool von Amnesty International die SMS in der Gerätebackup-Datei nur auf die von der NSO Group genutzten Domainnamen. Das Tool kann aber auch installierte Apps mit Virustotal oder Koodous auf Schadcode überprüfen.

VirusTotal hat ja bis heute keine eigene Android-App im Programm, was ja eigentlich unverständlich ist, da VirusTotal mittlerweile seit über 9 Jahren mit zum Google-Konzern (Chronicle) gehört!
Sei es drum, es gibt aber eine App im Playstore von FunnyCat „VirusTotal Mobile“, die offiziell von VT anerkannt wird und auch selber von denen verlinkt wird…

https://play.google.com/store/apps/details?id=com.funnycat.virustotal

https://support.virustotal.com/hc/en-us/articles/115002146549-Mobile-Apps

…Die App bringt die Dienste des Virenscanners direkt auf das Smartphone und lässt den Nutzer jede beliebige Datei auswählen, die im Hintergrund hochgeladen wird und nach wenigen Sekunden das Ergebnis ausspuckt. Dabei ist übrigens häufig gar kein Upload notwendig, denn zuerst wird per digitalem Fingerabdruck überprüft, ob die Datei bereits bekannt ist und der Upload somit erspart werden kann. Durch die riesige Community ist das häufig der Fall, was den Scan noch einmal deutlich schneller macht.
Die App klinkt sich als Ziel in den Teilen-Dialog ein, sodass jede beliebige teilbare Datei aus anderen Apps direkt an den Online-Virenscanner gesendet werden kann. Dabei lassen sich dann natürlich auch nicht-ausführbare Dateien wie Bilder oder PDF-Dokumente und alle anderen Dateitypen scannen. Die Hauptfunktion der App ist aber tatsächlich eine andere: Direkt nach dem ersten Start werden alle auf dem Smartphone installierten Apps überprüft (was sich nicht umgehen oder abbrechen lässt) und eine lange Liste mit Ergebnissen angezeigt. :wink:

Um selbst nach Hinweisen einer Kompromittierung zu suchen, listet Amnesty alle bekannten Domains, E-Mail-Adressen und Dateinamen der NSO Group in einem Github Repository auf.

https://github.com/AmnestyTech/investigations/tree/master/2021-07-18_nso

1 Like