Pegasus patří mezi spyware, tedy software, který je zaměřen na špehování osob. Ačkoli je prodáván s licencí umožňující sledovat pouze kriminální živly a teroristy, praxe je taková, že je prodáván i nedemokratickým režimům a ty jej používají ke sledování politických protivníků, bojovníků za lidská práva a novinářů. Sledování často ústí v uvěznění nebo vraždu těchto oponentů.
Váš mobil mohl být také infikován spywarem Pegasus, pokud jste byli v kontaktu s někým už sledovaným. Například jste si s ním vyměnili zprávu za účelem schůzky a tím upoutali pozornost. V tomto článku si ukážeme, jak zjistit, jestli jsou ve vašem telefonu stopy po Pegasu.
Pegasus pro iOS (čili pro iPhone) je propracovanější a zanechává hodně stop v systému. Pro Android existuje Pegasus také, ale nemá tolik funkcionality a stop zanechá rovněž méně - lze je nalézt mezi SMS zprávami a nainstalovanými aplikacemi.
V tomto článku se podrobněji budeme věnovat řešení pro Android. Pokud bude zájem, můžeme rozepsat i situaci pro iPhone.
K analýze budeme používat balík mvt. Nejjednodušší cesta bude přes docker:
git clone https://github.com/mvt-project/mvt.git
cd mvt
docker build -t mvt .
Jestli došlo k úspěšnému buildu, můžeme otestovat následovně:
docker run -it mvt
exit
Připojovat se k telefonu lze jednou ze dvou cest, přičemž ta první je nebezpečná pro počítač, ale funguje i ve starších verzích dockeru a ta druhá (bezpečnější) jen v novějších:
docker run -it --privileged -v /dev/bus/usb:/dev/bus/usb mvt
docker run -it --device=/dev/<your_usb_port> mvt
Jedna možnost analýzy je stažením a zkoumáním všech nainstalovaných balíků do telefonu:
mvt-android download-apks --output /path/to/folder
Pokud přidáme volbu --all-checks, vyhledají se balíky automaticky v on-line službách jako je VirusTotal.
Po instalaci a nastavení programu adb zkopírujeme SMS z telefonu:
adb backup com.android.providers.telephony
Poté je rozbalíme pomocí Android Backup Extractor:
java -jar ~/Download/abe.jar unpack backup.ab backup.tar
tar xvf backup.tar
Kontrolu provedeme následovně:
mvt-android check-backup --output . .
Ještě lepší ale bude provést kontrolu podle dalších analýz útoků. Například Amnesty International provádí analýzy a ukládá je na github. Analýzu Pegasu můžeme stáhnout zde:
wget https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/pegasus.stix2
Tuto staženou analýzu použijeme při kontrole následovně:
mvt-android check-backup --stix2 pegasus.stix2 --output . .
U iPhonu se musíme rozhodnout, jestli podstoupíme jailbreak, což má i své nevýhody. Doporučená cesta je provádět tuto analýzu bez jailbreaku a když metoda selže, vyzkoušet i jailbreak.
Konkrétní kroky by byly na další článek. Ten můžeme v případě zájmu napsat. Vyčerpávajícím způsobem jsou popsány v dokumentaci.