DOE AGORA Qualquer valor

Manual completo para saber se seu celular foi espionado pela Pegasus

Tal é a amplitude e extensão dos possíveis usuários afetados por spyware que qualquer usuário na Espanha pode verificar se seu telefone foi infectado pelo Pegasus.  Para isso, um grupo de pesquisadores envolvidos no caso desenvolveu uma ferramenta escrita em Python que verifica se nosso celular foi infectado pelo Pegasus usando indicadores de comprometimento. O problema é que a ferramenta não é muito intuitiva, não possui GUI (interface gráfica), utiliza comandos de terminal e requer alguns conhecimentos básicos, além de fazer um backup prévio.

 

 


 

Deve-se esclarecer que, se você é um “cidadão comum”, é mais do que provável que esteja seguro e que seu telefone não tenha sido intervencionado. No entanto, se você trabalha como político. jornalista ou ativista nos países envolvidos no caso Pegasus, é recomendável que você use esta ferramenta, especialmente se você usa um iPhone, porque infelizmente para seus proprietários, a grande maioria foi infectada usando exploits no iMessage da Apple.

 Saiba se o seu telefone está infectado pelo Pegasus com o Mobile Verification Toolkit (MVT)

O Mobile Verification Toolkit  é uma ferramenta desenvolvida por pesquisadores que trabalharam com a Anistia Internacional. A ideia por trás dessa coleção de ferramentas de software  é  simplificar e automatizar o processo de coleta de vestígios forenses úteis para identificar possíveis comprometimentos em dispositivos Android e iOS".

Para instalar este  software,  precisaremos usar macOS ou Linux e seguir as etapas na página do GitHub. Uma vez feito, dependendo de qual dispositivo usamos, podemos realizar verificações em nosso telefone usando comandos. Poderemos revisar os backups do iTunes, descriptografar o referido backup ou revisar os backups do Android, seguindo uma série de etapas nos terminais Linux e Mac.

A ferramenta compara assinaturas digitais de apks instalados com mecanismos AV como vírus total para IOCs (Indicators of Compromise) e mostra se há detecção ou não. 

 

Usar MTV

Não importa se você está usando Android ou iOS, você precisará do MVT

Abra o terminal:

pip3 instala mvt --user

Android


A ativação do modo de desenvolvedor

mvt usa o ADB para ler as informações do dispositivo e você precisará ativar o modo de desenvolvedor:

  •      vá para as configurações
  •      encontrar Sobre este telefone
  •      "número de compilação" local e toque várias vezes


Em seguida, vá para Configurações e procure Opções do desenvolvedor

  • Depuração USB e habilitar

Faça a análise

Se você é um desenvolvedor Android, lembre-se que o Android Studio deve ser fechado.

Abra o Terminal e execute

bin/mvt-android check-adb

 

Android com Backup

Procedimento Android com backup
Instalar ADB para backup

Suporte ADB para Android Debug Bridge. É uma ferramenta para controlar telefones Android, é usada principalmente por desenvolvedores.

Você pode instalar o ADB da seguinte forma, no Android SDK e baixar as ferramentas da plataforma, e lembre-se de baixar na pasta "Downloads" para que o tutorial a seguir funcione. Em seguida, descompacte o arquivo e localize a pasta de ferramentas da plataforma.

Faça backup do seu dispositivo Android

Conecte seu telefone Android ao seu computador e crie um backup da seguinte forma:

$ ~/Downloads/platform-tools/adb backup -all
 
AVISO: o backup adb está obsoleto e pode ser removido em uma versão futura
Agora desbloqueie seu dispositivo e confirme a operação de backup.
 
Escolha Fazer backup dos meus dados

Isto irá produzir um arquivo backup.ab


backup de verificação bin/mvt-android

Digitalizar para o telefone Pegasus iOS

Conecte o iPhone ao seu computador e crie um backup:


 Você pode detectar se seu telefone está comprometido seguindo estas etapas para Mac ou Linux


mvt-ios check-backup /Users/YOUR_USERNAME/Library/Application\Support/MobileSync/Backup/d49de92a50b83....19c394a7

Como fazer backup e escanear dispositivos iOS contra IOCs Pegasus usando Docker e MVT


Este guia fornece um procedimento passo a passo para realizar uma análise forense de um dispositivo iOS usando o Mobile Verification Toolkit (MVT) criado pela equipe da Anistia Internacional.


Muitas pessoas acham difícil escanear dispositivos iOS devido à complexidade do procedimento no Linux.

Você pode usar o Docker porque as versões mais recentes do iOS exigem o uso de uma versão do libimobiledevice que ainda não está disponível no Linux. Usamos libimobiledevice para fazer backup do dispositivo iOS em vez de usar o iTunes.

Este guia foi testado com sucesso no Ubuntu 20.04 com:

  •     iOS 13.5.1
  •     iOS 14.5
  •     iOS 14.7


Requisitos

  •     Um sistema operacional baseado em Debian
  •     Um acesso root no seu computador
  •     Docker já instalado
  •     Conhecimento de linha de comando Linux


Siga cada etapa na mesma sessão de terminal.

1. Crie um diretório para sua pesquisa

mkdir Pegasus
cd Pegasus


2. Prepare a estrutura de diretórios

backup mkdir ioc descriptografado verificado


3. Recuperar o COI fornecido pela Anistia Internacional

wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2


4. Recupere o Dockerfile

 

wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile



5. Crie a imagem do Docker

Dependendo de sua configuração, talvez tenhamos que ser root desta etapa até o final da investigação.

docker build -t mvt .


Prepare o dispositivo iOS a ser analisado


6. Conecte o dispositivo iOS ao seu computador




Não o desconecte até o final do procedimento de backup e certifique-se de manter o dispositivo desbloqueado


7. Pare o Mixer USB

systemctl parar usbmuxd


Este comando pode demorar um pouco, apenas espere.


8. Inicie o contêiner do Docker

docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host \
  -v $PWD/ioc:/home/cases/ioc \
  -v $PWD/ decrypted:/home/cases/decrypted \
  -v $PWD/checked:/home/cases/checked \
  -v $PWD/backup:/home/cases/backup \
  mvt


Agora qualquer comando que você executar será executado dentro do container.

9. Inicie o mixer USB

usbmuxd


O dispositivo iOS pode perguntar se você confia no computador conectado, confie nele.

10. Verifique se o iOS é reconhecido

ideviceinfo


Backup do dispositivo iOS

11. Ative a criptografia de backup

criptografia de backup idevicebackup2 em -i


12. Backup do dispositivo iOS

backup idevicebackup2 --backup completo/


Uma vez feito, você pode desconectar o dispositivo iOS. correr

 ls -l backup

 para obter o nome do backup.


Analise o backup


13. Descriptografar o backup



mvt-ios decrypt-backup -p <senha de backup> -d backup descriptografado/<nome do backup>



Para obter mais detalhes e opções, consulte a documentação do MVT e a nota de senha de backup. Se você fez backup deste telefone usando o iTunes, a senha de backup é a mesma que você forneceu no iTunes.


14. Analise o backup

mvt-ios check-backup -o verificado --iocs ioc/pegasus.stix2 descriptografado


15. Confira os resultados

ls -l verificado


A pasta marcada contém vários arquivos JSON. Quaisquer correspondências IOC são armazenadas em arquivos JSON com o sufixo _detected.


16. Saia do contêiner

saída


17. Salve os registros de saída

Se desejar manter os arquivos gerados durante o procedimento forense, faça uma cópia de backup das seguintes pastas:

  •     backup contendo o backup do iOS
  •     descriptografado contendo o backup descriptografado
  •     verificado que contém os resultados da análise MVT


As capacidades da Pegasus são muitas; Ele é capaz de rastrear desde a localização da vítima até  suas mensagens privadas,  além de gravar conversas ou detectar com quais usuários a vítima interagiu. Inicialmente, o Pegasus se espalhou por meio de mensagens de texto ou e-mails para a vítima baixar o  software  usando técnicas de engenharia social.

 Se você tem medo de que seu telefone possa ser infectado pelo Pegasus, a melhor estratégia é manter seus dispositivos e  aplicativos  atualizados e mantê-los atualizados contra  vulnerabilidades do sistema  que podem causar falhas de segurança, para resolvê-los e evitá-los.

 

Origens:

https://www.elespanol.com/omicrono/software/como-saber-movil-infectado-pegasus-software-espio-independentistas-catalanes-seo/597941258_0.html

https://sonique6784.medium.com/how-to-detect-spyware-pegasus-on-android-and-ios-68fb94f35657

https://defensive-lab.agency/2021/07/pegasus-ios-forensic/ 

Comentários

Ebook

Postagens mais visitadas