Как обнаружить шпионское ПО Pegasus на вашем iPhone с помощью MVT?

Открытие того, что наше правительство может использовать шпионское ПО под названием Pegasus для взлома телефонов своих критиков, положило начало совершенно новым дебатам о конфиденциальности. Оппозиция при каждой возможности пытается атаковать правящую партию, в то время как последняя пытается подорвать контроль после столь серьезных обвинений.

Среди хаоса один из участников проекта Pegasus, Amnesty, недавно опубликовал общедоступный набор инструментов, который может проверить, заражен ли ваш телефон Pegasus. Инструментарий, известный как MVT, требует от пользователей знания командной строки.

В предыдущем посте мы писали о том, как он работает и успешно отслеживает признаки Пегаса. Более того, мы упомянули, что MVT более эффективен на iOS, чем на Android (максимум, что вы можете сделать, это сканировать APK-файлы и SMS-сообщения). Следовательно, в этом руководстве мы сосредоточимся на том, чтобы разбить процесс обнаружения Pegasus на iPhone на пошаговое руководство.

Что такое Пегас?

Pegasus — это сложная шпионская программа, разработанная NSO Group, израильской компанией по производству кибероружия. Он нацелен на смартфоны Android и iOS и может извлекать из них конфиденциальную информацию. Свое название «Пегас» (крылатый конь в греческой мифологии) он получил из-за своей способности передавать данные по воздуху без участия пользователя.

Вызывает споры то, что правительства всего мира подозреваются в том, что они использовали его против своих противников, включая известных журналистов, активистов и членов оппозиции.

Как шпионское ПО Pegasus заражает телефоны?

Pegasus может войти в устройство цели посредством простого взаимодействия с пользователем, например, нажав ссылку SMS. Однако его устрашающий потенциал заключается в его способности удаленно заражать целевое устройство с помощью эксплойта с нулевым щелчком мыши. Это означает, что даже если со стороны жертвы не будет никаких рискованных действий, Пегас все равно сможет проникнуть в его устройство.

Когда удаленное заражение невозможно, злоумышленники могут вручную установить вредоносное ПО на устройство или для этого разместить поблизости приемопередатчик. Чтобы уничтожить любые свидетельства о себе, Pegasus также может самоуничтожиться и удалить все свои следы с устройства.

Что может получить Пегас?

Пегас может получить тревожное разнообразие личной и конфиденциальной информации. Он может получить доступ к информации вашего устройства, SMS, зашифрованным и незашифрованным текстам, электронной почте, истории вызовов, истории браузера, данным о местоположении, паролям, камере и микрофону. Кроме того, он также может получать другие данные из сторонних приложений, установленных на вашем устройстве Android или iOS.

Кроме того, Pegasus может выполнять определенные задачи на зараженном телефоне. Он может записывать звонки, делать снимки экрана, захватывать видео с камеры или микрофона, переключать датчик местоположения, загружать локальные файлы на свой сервер.

Действия по обнаружению Pegasus на iPhone

Прежде всего, вам нужно будет создать зашифрованную резервную копию и передать это на Mac или ПК. Вместо этого вы также можете сделать это в Linux, но вам придется установить либимобильное устройство заранее для этого.

После переноса резервной копии телефона вам необходимо загрузите Python 3.6 (или новее) в вашей системе — если у вас его еще нет. Вот как вы можете установить то же самое для Окна, macOSи Linux.

После этого пройдите Руководство по амнистии чтобы правильно установить MVT в вашей системе. Установка MVT предоставит вам новые утилиты (mvt-ios и mvt-android), которые вы сможете использовать в командной строке Python.

Наконец, давайте рассмотрим шаги по обнаружению Pegasus в резервной копии iPhone с помощью MVT. При этом вам необходимо расшифровать резервную копию данных с помощью команды. Для этого вам нужно будет ввести следующий формат инструкций, заменив текст-заполнитель (отмеченный косой чертой) своим собственным путем.

Примечание: Замените «/decrypted» на каталог, в котором вы хотите сохранить расшифрованную резервную копию, а «/backup» на каталог, в котором находится ваша зашифрованная резервная копия.

mvt-ios decrypt-backup -p пароль -d /decrypted /backup

Теперь мы запустим сканирование расшифрованной резервной копии, сверив ее с последними IOC (возможными признаками шпионского ПО Pegasus), и сохраним результат в выходной папке.

Для этого сначала скачайте новейшие IOC с сайта здесь (используйте папку с последней отметкой времени). Затем введите формат инструкций, указанный ниже, с вашим собственным путем к каталогу.

mvt-ios check-backup -o /output -i /pegasus.stix2 /backup

Примечание: Замените «/output» на каталог, в котором вы хотите сохранить результат сканирования, «/backup» на путь, по которому хранится ваша расшифрованная резервная копия, и «/pegasus.stix2» на путь, по которому вы загрузили последние версии IOC.

После завершения сканирования MVT сгенерирует файлы JSON в указанной выходной папке. Если существует файл JSON с суффиксом «_detected», это означает, что данные вашего iPhone, скорее всего, заражены Pegasus.

Тем не менее, команда Amnesty регулярно обновляет МОК, поскольку они лучше понимают, как работает Pegasus. Таким образом, вы можете продолжать сканирование по мере обновления IOC, чтобы убедиться в отсутствии ложных срабатываний.

Жертвы шпионского ПО Pegasus

В последние годы многочисленные отчеты показали, что несколько правительств использовали Pegasus для наблюдения за своими критиками и оппозиционными силами. Вот список стран, где, как сообщается, имели место нападения Pegasus.

СтранаЦельОбвиняемыйАрменияДействующие и бывшие государственные деятелиПравительство Армении и АзербайджанаЖурналисты, активистыПравительство АзербайджанаБахрейнАктивисты, журналисты, политические партии, критики правительстваПравительство БахрейнаСальвадорЖурналистыПравительство СальвадораФинляндияДипломатыНет информацииВенгрияЖурналисты, юристы, политическая оппозицияПравительство ВенгрииИндияАктивисты, журналисты, бюрократы, политическая оппозицияПравительство ИндииИзраильАктивисты, граждане, туристы, действующие и бывшие государственные служащие , корпоративные лидеры , политическая оппозицияИзраильское правительство и властиИорданияХала Ахед ДибНет информацииКазахстанАктивисты, журналисты, государственные служащиеНет информацииМексикаПреступники, ученые, активисты, мексиканское правительство, наркокартелиМароккоАлжирские политики и военные, журналисты политическая оппозицияМарроканское правительствоПанамаПолитическая оппозиция, судьи, корпоративные лидеры, личные контактыРикардо МартинеллиПалестинаАктивистыНет информацииПольшаЮристы, журналисты, политическая оппозиция , государственные служащиеПравительство ПольшиРуандаАктивистыНет информацииСаудовская АравияАнглийские и катарские журналисты, Камель ДжендубиПравительство Саудовской АравииИспанияАктивисты, ученые, юристы, государственные служащиеИспанское правительствоТогоКритики правительстваТоголезское правительствоУгандаАмериканские дипломаты и сотрудники посольства СШАМухузи КайнеругабаThe UA EАнглийские журналисты и катарские журналисты, Правительство Йемена, активисты, личные контакты, Борис ДжонсонПравительство Эмиратов, Мухаммед бин Рашид Аль Мактум

Часто задаваемые вопросы

Как Pegasus попадает в ваш телефон?

Шпионское ПО Pegasus может заразить ваш телефон удаленно или посредством взаимодействия с пользователем. Это означает, что, хотя он может проникнуть на ваше устройство по ссылке, на которую вы нажимаете, он также может заразить ваше устройство по беспроводной сети, не требуя никаких действий со стороны цели.

Можно ли установить шпионское ПО с помощью текстового сообщения?

Да, если вы нажмете на вредоносную ссылку внутри сообщения. Однако в случае с Pegasus шпионское ПО может заразить ваш телефон даже без какого-либо взаимодействия с пользователем.

Какие признаки проявляет телефон, зараженный Pegasus?

Pegasus представляет собой весьма сложное вредоносное программное обеспечение, не проявляющее явных признаков своего существования на устройстве.

Может ли шпионское ПО пережить сброс настроек до заводских настроек?

В большинстве случаев от шпионского ПО можно избавиться, выполнив сброс настроек к заводским, т. е. удалив все данные вашего устройства. Но некоторые шпионские программы могут даже обойти это решение и остаться