Pegasus - špehování ve vašem mobilu

Pegasus - špehování ve vašem mobilu

Pegasus patří mezi spyware, tedy software, který je zaměřen na špehování osob. Ačkoli je prodáván s licencí umožňující sledovat pouze kriminální živly a teroristy, praxe je taková, že je prodáván i nedemokratickým režimům a ty jej používají ke sledování politických protivníků, bojovníků za lidská práva a novinářů. Sledování často ústí v uvěznění nebo vraždu těchto oponentů.

Váš mobil mohl být také infikován spywarem Pegasus, pokud jste byli v kontaktu s někým už sledovaným. Například jste si s ním vyměnili zprávu za účelem schůzky a tím upoutali pozornost. V tomto článku si ukážeme, jak zjistit, jestli jsou ve vašem telefonu stopy po Pegasu.

Pegasus pro iOS (čili pro iPhone) je propracovanější a zanechává hodně stop v systému. Pro Android existuje Pegasus také, ale nemá tolik funkcionality a stop zanechá rovněž méně - lze je nalézt mezi SMS zprávami a nainstalovanými aplikacemi.

V tomto článku se podrobněji budeme věnovat řešení pro Android. Pokud bude zájem, můžeme rozepsat i situaci pro iPhone.

K analýze budeme používat balík mvt. Nejjednodušší cesta bude přes docker:

git clone https://github.com/mvt-project/mvt.git
cd mvt
docker build -t mvt .

Jestli došlo k úspěšnému buildu, můžeme otestovat následovně:

docker run -it mvt
exit

Připojovat se k telefonu lze jednou ze dvou cest, přičemž ta první je nebezpečná pro počítač, ale funguje i ve starších verzích dockeru a ta druhá (bezpečnější) jen v novějších:

docker run -it --privileged -v /dev/bus/usb:/dev/bus/usb mvt
docker run -it --device=/dev/<your_usb_port> mvt

Android

Instalované balíky

Jedna možnost analýzy je stažením a zkoumáním všech nainstalovaných balíků do telefonu:

mvt-android download-apks --output /path/to/folder

Pokud přidáme volbu --all-checks, vyhledají se balíky automaticky v on-line službách jako je VirusTotal.

SMS

Po instalaci a nastavení programu adb zkopírujeme SMS z telefonu:

adb backup com.android.providers.telephony

Poté je rozbalíme pomocí Android Backup Extractor:

java -jar ~/Download/abe.jar unpack backup.ab backup.tar
tar xvf backup.tar

Kontrolu provedeme následovně:

mvt-android check-backup --output . .

Ještě lepší ale bude provést kontrolu podle dalších analýz útoků. Například Amnesty International provádí analýzy a ukládá je na github. Analýzu Pegasu můžeme stáhnout zde:

wget https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/pegasus.stix2

Tuto staženou analýzu použijeme při kontrole následovně:

mvt-android check-backup --stix2 pegasus.stix2 --output . .

iPhone

U iPhonu se musíme rozhodnout, jestli podstoupíme jailbreak, což má i své nevýhody. Doporučená cesta je provádět tuto analýzu bez jailbreaku a když metoda selže, vyzkoušet i jailbreak.

Konkrétní kroky by byly na další článek. Ten můžeme v případě zájmu napsat. Vyčerpávajícím způsobem jsou popsány v dokumentaci.


Přidej se do našeho mailing listu

Chceš se dozvědět víc ohledně IT bezpečnosti? Tak si na správném místě.


TunaSec z.s.
Moldavská 527/3, Bohunice, 625 00 Brno
Phone  +420 774 071 231
Envelope  info@tunasec.com