Zo check je of je gehackt bent met Pegasus

De zogeheten Mobile Verification Toolkit (MVT) is ontwikkeld door de onderzoekers van Amnesty International die de malware Pegasus grondig hebben onderzocht en onthuld.

De tool werkt op zowel iPhones als Android-apparatuur maar wel met kleine verschillen. Volgens Amnesty waren op iPhones meer forensische sporen te vinden van Pegasus waardoor besmetting makkelijker te herkennen is dan op Android-apparate.

De toolkit controleert de volledige back up op zogeheten indicators of compromise (IOC’s) die NSO gebruikt om Pegasus op een systeem te zetten. Voorbeelden daarvan zijn domeinnamen die in de infrastructuur van NSO worden gebruikt. Ze worden onder meer verstuurd via sms en e-mail.

Encryptie

Ook een versleutelde iPhone-back up kan gecontroleerd worden door de toolkit; die ontsleutelt de back up volledig zonder dat een complete nieuwe kopie gemaakt moet worden. De toolkit werkt vergelijkbaar voor Android-apparaten.

Voor gebruik van de toolkit moeten wel de IOC’s van Amnesty geladen worden. Die staat op de GitHub-pagina van Amnesty.

Eerder deze maand werk bekend dat NSO de spyware Pegasus verkoopt die bij minstens 50.000 nummers van journalisten, politici en advocaten en activisten is geïnstalleerd. Klanten zijn overheden en opsporingsdiensten.

Dat werd duidelijk nadat de journalistieke organisatie Forbidden Stories en Amnesty International door een datalek een lijst tot hun beschikking kregen met daarop 50.000 doelwitten van overheidsdiensten.