Erkennen Sie Predator-Spyware auf dem Telefon
Cytrox, ein bekanntes mazedonisches Cybersicherheitsunternehmen, erlangte 2021 durch die Entwicklung und Verbreitung der Spyware Predator für iPhones Bekanntheit. Diese hochentwickelte Spyware infiltrierte erfolgreich iOS 14.6, die damals neueste Betriebssystemversion, mithilfe von Ein-Klick-Links, die über die beliebte Messaging-Plattform WhatsApp verbreitet wurden. Predator blieb auch nach einem Neustart mithilfe der iOS-Automatisierungsfunktion bestehen.
Die Predator-Spyware wurde vermutlich von Regierungsbehörden eingesetzt, unter anderem in Armenien, Ägypten, Griechenland, Indonesien, Madagaskar, Oman, Saudi-Arabien und Serbien. Ihre Ziele reichen von der politischen Opposition und Journalisten bis hin zu den Moderatoren einflussreicher Nachrichtensendungen, was auf eine weitreichende Überwachungsoperation hindeutet. Es ist jedoch erwähnenswert, dass das Unternehmen derzeit in der Europäischen Union unter verschiedenen Namen operiert.
Sobald der Predator Loader aktiviert ist, lädt er Python-Skripte auf Ihr iPhone herunter, um die Kontrolle über das Gerät zu übernehmen. Nach dem Laden der Predator-Konfiguration löscht der iOS Loader anschließend die Absturzprotokolle des Geräts und entfernt alle zugehörigen Dateien. Anschließend ruft er eine Konfigurationsdatei und die nachfolgenden Stufen der Spyware vom angegebenen Server ab.
Unter iOS führt der Predator Loader eine Funktion aus, die für den Download einer iOS-Verknüpfung vom Spyware-Server verantwortlich ist und deren Persistenz gewährleistet. Diese Automatisierung wird beim Start bestimmter Apps aktiviert, darunter eine Reihe integrierter Apple-Anwendungen.
Insgesamt werden mehr als 44 Apps sorgfältig überwacht, darunter der App Store, Kamera, Mail, Maps und Safari sowie beliebte Apps von Drittanbietern wie Twitter, Instagram, Facebook, LinkedIn, Skype, SnapChat, Viber, TikTok, Line, OpenVPN, WhatsApp, Signal und Telegram.
Die Predator-Verknüpfung arbeitet vollständig im Hintergrund und bleibt für den Benutzer unsichtbar. Diese Tarnung wird dadurch erreicht, dass Predator eine Einstellung ändert, um automatisierte Benachrichtigungen zu deaktivieren. Cytrox und seine Predator-Spyware sind im Gegensatz zu Pegasus relativ unbekannt.
So erkennen Sie Predator-Spyware unter iOS
Um festzustellen, ob die Predator-Spyware auf Ihrem iPhone installiert ist, müssen Sie zunächst ein Backup Ihres Geräts erstellen. Anschließend ist der Einsatz eines Tools wie MVT unerlässlich, um das Vorhandensein von Cytrox-Spyware auf Ihrem iDevice festzustellen.
MVT nutzt verschiedene Indikatoren wie Malware, Verbindungen, gebündelte Dateien, Domänennamen und Apple-IDs, die mit der Gefährdung Ihres Geräts in Verbindung stehen, und überwacht laufende Prozesse, um die Installation von Predator effektiv zu erkennen. MVT verwendet den Indikator cytrox.stix2, um Predator-Spyware anhand Ihrer iPhone-Backup-Datei zu identifizieren und zu erkennen.
Hinweis: Verschlüsselte iOS-Backups enthalten zusätzliche interessante Datensätze, die in unverschlüsselten Backups nicht verfügbar sind. Diese umfassen wichtige Daten wie den Safari-Verlauf, den Safari-Status und andere relevante Informationen, die die forensische Analyse verbessern.
Befolgen Sie die Schritte, um Predator-Spyware auf iOS zu erkennen:
Schritt 1. Installieren Sie das Mobile Verification Toolkit auf dem Desktop.
Schritt 2. Verbinden Sie Ihr iPhone über ein USB-Kabel mit Ihrem Computer.
Schritt 3. Erstellen Sie mit iTunes oder Befehlszeilentools ein iPhone-Backup (verschlüsselt).
Schritt 4. Öffnen Sie Ihre bevorzugte Terminalanwendung.
Schritt 5. Führen Sie den folgenden Befehl aus, um das iOS-Backup zu entschlüsseln .
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directorySchritt 6. Geben Sie das Kennwort zur Verschlüsselung der iOS-Sicherungsdatei ein.
Schritt 7. Aktualisieren Sie die MVT-Indikatoren auf die neueste Version.
mvt-ios download-iocsSchritt 8. Scannen Sie das iOS-Backup mit MVT, um festzustellen, ob Predator-Spyware installiert wurde.
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directorySchritt 9. Zeigen Sie die Eingabeaufforderung für den Erkennungsstatus der Predator-Spyware an.
Schritt 10. Für weitere Analysen können Sie durch die $mvt_output_directory-Dateien navigieren.
