Manual completo para saber se seu celular foi espionado pela Pegasus
Tal é a amplitude e extensão dos possíveis usuários afetados por spyware que qualquer usuário na Espanha pode verificar se seu telefone foi infectado pelo Pegasus. Para isso, um grupo de pesquisadores envolvidos no caso desenvolveu uma ferramenta escrita em Python que verifica se nosso celular foi infectado pelo Pegasus usando indicadores de comprometimento. O problema é que a ferramenta não é muito intuitiva, não possui GUI (interface gráfica), utiliza comandos de terminal e requer alguns conhecimentos básicos, além de fazer um backup prévio.
Deve-se esclarecer que, se você é um “cidadão comum”, é mais do que provável que esteja seguro e que seu telefone não tenha sido intervencionado. No entanto, se você trabalha como político. jornalista ou ativista nos países envolvidos no caso Pegasus, é recomendável que você use esta ferramenta, especialmente se você usa um iPhone, porque infelizmente para seus proprietários, a grande maioria foi infectada usando exploits no iMessage da Apple.
Saiba se o seu telefone está infectado pelo Pegasus com o Mobile Verification Toolkit (MVT)
O Mobile Verification Toolkit é uma ferramenta desenvolvida por pesquisadores que trabalharam com a Anistia Internacional. A ideia por trás dessa coleção de ferramentas de software é " simplificar e automatizar o processo de coleta de vestígios forenses úteis para identificar possíveis comprometimentos em dispositivos Android e iOS".
Para instalar este software, precisaremos usar macOS ou Linux e seguir as etapas na página do GitHub. Uma vez feito, dependendo de qual dispositivo usamos, podemos realizar verificações em nosso telefone usando comandos. Poderemos revisar os backups do iTunes, descriptografar o referido backup ou revisar os backups do Android, seguindo uma série de etapas nos terminais Linux e Mac.
A ferramenta compara assinaturas digitais de apks instalados com mecanismos AV como vírus total para IOCs (Indicators of Compromise) e mostra se há detecção ou não.
Usar MTV
Não importa se você está usando Android ou iOS, você precisará do MVT
Abra o terminal:
pip3 instala mvt --user
Android
A ativação do modo de desenvolvedor
mvt usa o ADB para ler as informações do dispositivo e você precisará ativar o modo de desenvolvedor:
- vá para as configurações
- encontrar Sobre este telefone
- "número de compilação" local e toque várias vezes
Em seguida, vá para Configurações e procure Opções do desenvolvedor
- Depuração USB e habilitar
Faça a análise
Se você é um desenvolvedor Android, lembre-se que o Android Studio deve ser fechado.
Abra o Terminal e execute
bin/mvt-android check-adb
Android com Backup
Instalar ADB para backup
Suporte ADB para Android Debug Bridge. É uma ferramenta para controlar telefones Android, é usada principalmente por desenvolvedores.
Você pode instalar o ADB da seguinte forma, no Android SDK e baixar as ferramentas da plataforma, e lembre-se de baixar na pasta "Downloads" para que o tutorial a seguir funcione. Em seguida, descompacte o arquivo e localize a pasta de ferramentas da plataforma.
Faça backup do seu dispositivo Android
Conecte seu telefone Android ao seu computador e crie um backup da seguinte forma:
$ ~/Downloads/platform-tools/adb backup -all
Agora desbloqueie seu dispositivo e confirme a operação de backup.
Isto irá produzir um arquivo backup.ab
backup de verificação bin/mvt-android
Digitalizar para o telefone Pegasus iOS
mvt-ios check-backup /Users/YOUR_USERNAME/Library/Application\Support/MobileSync/Backup/d49de92a50b83....19c394a7
Como fazer backup e escanear dispositivos iOS contra IOCs Pegasus usando Docker e MVT
Este guia fornece um procedimento passo a passo para realizar uma análise forense de um dispositivo iOS usando o Mobile Verification Toolkit (MVT) criado pela equipe da Anistia Internacional.
Muitas pessoas acham difícil escanear dispositivos iOS devido à complexidade do procedimento no Linux.
Você pode usar o Docker porque as versões mais recentes do iOS exigem o uso de uma versão do libimobiledevice que ainda não está disponível no Linux. Usamos libimobiledevice para fazer backup do dispositivo iOS em vez de usar o iTunes.
Este guia foi testado com sucesso no Ubuntu 20.04 com:
- iOS 13.5.1
- iOS 14.5
- iOS 14.7
Requisitos
- Um sistema operacional baseado em Debian
- Um acesso root no seu computador
- Docker já instalado
- Conhecimento de linha de comando Linux
Siga cada etapa na mesma sessão de terminal.
1. Crie um diretório para sua pesquisa
mkdir Pegasus
cd Pegasus
2. Prepare a estrutura de diretórios
backup mkdir ioc descriptografado verificado
3. Recuperar o COI fornecido pela Anistia Internacional
wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2
4. Recupere o Dockerfile
wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile
5. Crie a imagem do Docker
Dependendo de sua configuração, talvez tenhamos que ser root desta etapa até o final da investigação.
docker build -t mvt .
Prepare o dispositivo iOS a ser analisado
6. Conecte o dispositivo iOS ao seu computador
Não o desconecte até o final do procedimento de backup e certifique-se de manter o dispositivo desbloqueado
7. Pare o Mixer USB
systemctl parar usbmuxd
Este comando pode demorar um pouco, apenas espere.
8. Inicie o contêiner do Docker
docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host \
-v $PWD/ioc:/home/cases/ioc \
-v $PWD/ decrypted:/home/cases/decrypted \
-v $PWD/checked:/home/cases/checked \
-v $PWD/backup:/home/cases/backup \
mvt
Agora qualquer comando que você executar será executado dentro do container.
9. Inicie o mixer USB
usbmuxd
O dispositivo iOS pode perguntar se você confia no computador conectado, confie nele.
10. Verifique se o iOS é reconhecido
ideviceinfo
Backup do dispositivo iOS
11. Ative a criptografia de backup
criptografia de backup idevicebackup2 em -i
12. Backup do dispositivo iOS
backup idevicebackup2 --backup completo/
Uma vez feito, você pode desconectar o dispositivo iOS. correr
ls -l backup
para obter o nome do backup.
Analise o backup
13. Descriptografar o backup
mvt-ios decrypt-backup -p <senha de backup> -d backup descriptografado/<nome do backup>
Para obter mais detalhes e opções, consulte a documentação do MVT e a nota de senha de backup. Se você fez backup deste telefone usando o iTunes, a senha de backup é a mesma que você forneceu no iTunes.
14. Analise o backup
mvt-ios check-backup -o verificado --iocs ioc/pegasus.stix2 descriptografado
15. Confira os resultados
ls -l verificado
A pasta marcada contém vários arquivos JSON. Quaisquer correspondências IOC são armazenadas em arquivos JSON com o sufixo _detected.
16. Saia do contêiner
saída
17. Salve os registros de saída
Se desejar manter os arquivos gerados durante o procedimento forense, faça uma cópia de backup das seguintes pastas:
- backup contendo o backup do iOS
- descriptografado contendo o backup descriptografado
- verificado que contém os resultados da análise MVT
As capacidades da Pegasus são muitas; Ele é capaz de rastrear desde a localização da vítima até suas mensagens privadas, além de gravar conversas ou detectar com quais usuários a vítima interagiu. Inicialmente, o Pegasus se espalhou por meio de mensagens de texto ou e-mails para a vítima baixar o software usando técnicas de engenharia social.
Se você tem medo de que seu telefone possa ser infectado pelo Pegasus, a melhor estratégia é manter seus dispositivos e aplicativos atualizados e mantê-los atualizados contra vulnerabilidades do sistema que podem causar falhas de segurança, para resolvê-los e evitá-los.
Origens:
https://sonique6784.medium.com/how-to-detect-spyware-pegasus-on-android-and-ios-68fb94f35657
Comentários
Postar um comentário