Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Manual completo para saber si tu teléfono ha sido espiado por Pegasus


Tal es la amplitud y la extensión de los posibles usuarios afectados por el spyware que cualquier usuario puede comprobar si su teléfono ha sido infectado por Pegasus. Para ello, un grupo de investigadores implicados en el caso, desarrolló una herramienta escrita en Python que "verifica" si el teléfono móvil ha sido infectado con Pegasus mediante indicadores de compromiso. El problema es que la herramienta no es muy intuitiva, no dispone de GUI (interfaz gráfica), son comandos vía terminal y requiere de algunos conocimientos básicos (además no tiene soporte nativo para Windows), así como de realizar previamente una copia de seguridad.

 

 



A día de hoy se desconoce el total de personas afectadas por Pegasus que han sido víctimas de espionaje de sus propios gobiernos o de gobiernos extranjeros. Según la BBC, pueden haber sido más de 1.000 afectados en más de 50 países. Y hay una lista de unos 50.000 números de teléfono que se cree que son de interés para los clientes de la empresa, NSO Group, que fue filtrada a medios de comunicación:

Hay que aclarar que si eres un "ciudadano común", es más que probable que estés a salvo y que tu teléfono no haya sido intervenido. Sin embargo, si desempeñas labores como político. periodista o activista en los países envueltos en el caso de Pegasus, es recomendable que uses esta herramienta, especialmente si usas un iPhone, porque por desgracia para sus propietarios la gran mayoría han sido infectados utilizando exploits en iMessage de Apple. Además según el New York Times, tiene un coste 500.000 dólares para infectar un móvil.

Pegasus es un spyware (software espía) para iOS, el sistema operativo de los iPhone, diseñado y desarrollado por una compañía privada de seguridad israelí llamada NSO Group. Un desarrollo que, en principio, solo se ofrece a gobiernos y a cuerpos y fuerzas de seguridad del estado. Existe una versión para Android (bautizada) por Google y llamada Chrysaor.

 Saber si tu teléfono está infectado por Pegasus con Mobile Verification Toolkit (MVT)

Mobile Verification Toolkit es una herramienta desarrollada por investigadores que han trabajado con Amnistía Internacional. La idea detrás de esta colección de herramientas de software es la de "simplificar y automatizar el proceso de recopilación de rastros forenses útiles para identificar un posible compromiso en dispositivos Android e iOS".

No obstante, hay algunas herramientas de terceros que simplifican algo el proceso. La apps iMazing incluye como función gratuita la detección de Pegasus. La app utiliza el kit de MVT. Sus instrucciones y su descarga están disponibles aquí.

Para instalar este software, necesitaremos usar macOS o Linux y seguir los pasos que la página de GitHub. Una vez hechos, dependiendo de qué dispositivo usemos podremos realizar comprobaciones en nuestro teléfono mediante comandos. Podremos revisar las copias de seguridad de iTunes, descifrar dicha copia de seguridad o revisar copias de seguridad de Android, siguiendo una serie de pasos en las terminales de Linux y Mac.

IOC's de Pegasus

La herramienta compara las firmas digitales de los apk instalados con motores de AV como virus total en busca de IOC (Indicadores de Compromiso) y muestra si hay detección o no. 

La herramienta simplemente "comprueba" en una copia de seguridad de un Iphone buscando trazas de unos dominios, procesos y direcciones Ips que Amnistía declaró relacionados con NSO Group y Pegasus Es lo que llamamos IOCs o indicadores de compromiso

Esta herramienta testea en una copia de seguridad de un Iphone buscando trazas de unos dominios, procesos y direcciones Ips que Amnistía declaró relacionados con NSO Group y Pegasus

Para ello la búsqueda se realiza en los SMS recibidos intentando encontrar algunos con enlaces maliciosos correspondientes a estos IOCs. El siguiente paso es el examen del historial de navegación de Safari. El tercer paso es el examen de "cuentas de iCloud" asociadas a Pegasus que hayan interactuado con el dispositivo. De hecho algunas de estas cuentas se utilizaron contra varias víctimas a la vez. Esta información se guardaba también cifrada en los backups hasta IOS 14.7

Se examina luego dos archivos :

  • Datausage y Netusage que contienen un registro con nombres de procesos y la información que enviaron o recibieron de la red. Se buscan nombres de procesos comunes en otras infecciones y asociados a Pegasus

Con esta información la herramienta confecciona una línea temporal de lo encontrado y más significativo , para analizarlo relacionándolo con las fechas en que ocurrió lo que va encontrando

Utilizar MTV

No importa si estás usando Android o iOS, necesitarás MVT

Abre la terminal:

pip3 install mvt --user

Android


Habilitar el modo desarrollador

mvt  usa ADB para leer la información del dispositivo, y deberás habilitar el modo de desarrollador:

  •      ir a la configuración
  •      encontrar Acerca de este teléfono
  •      "Número de compilación" local y presiona varias veces


Luego ves a Configuración y busca Opciones de desarrollador

  • Depuración USB y habilitar

Realizar el análisis

Si eres desarrollador de Android, recuerda que Android Studio debe estar cerrado.

Abre la Terminal y ejecutas

bin/mvt-android check-adb

 

Android con  Backup

Procedimiento de Android con copia de seguridad
Instalar ADB para copia de seguridad

Soporte ADB para Android Debug Bridge. Es una herramienta para controlar teléfonos Android, es utilizada principalmente por desarrolladores.

Puedes instalar ADB de la siguiente manera, en Android SDK y descarga las herramientas de la plataforma, y recuerda descargar en la carpeta "Descargas" para que el siguiente tutorial funcione. Luego descomprime el archivo y busca la carpeta de herramientas de la plataforma.

Copia de seguridad de su dispositivo Android

Conecta tu teléfono Android al ordenador y crea una parte posterior de la siguiente manera:

$ ~/Downloads/platform-tools/adb backup -all
 
ADVERTENCIA: adb backup está en desuso y es posible que se elimine en una versión futura
Ahora desbloquee su dispositivo y confirme la operación de copia de seguridad.
 
Elige Hacer una copia de seguridad de mis datos

Esto producirá un archivo backup.ab


bin/mvt-android check-backup

Analizar en busca de Pegasus teléfono iOS

Conecta el iPhone a tu computadora y crea una copia de seguridad:


 Puedes detectar si tu teléfono está comprometido siguiendo estos pasos para Mac o Linux


mvt-ios check-backup /Users/SU_NOMBRE DE USUARIO/Library/Application\ Support/MobileSync/Backup/d49de92a50b83....19c394a7

Cómo hacer una copia de seguridad y analizar dispositivos iOS contra los IOC de Pegasus usando Docker y MVT


Esta guía le brinda un procedimiento paso a paso para realizar un análisis forense de un dispositivo iOS utilizando el kit de herramientas de verificación móvil (MVT) creado por el equipo de Amnistía Internacional.


Muchas personas tienen dificultades para analizar los dispositivos iOS debido a la complejidad del procedimiento en Linux.

Puedes usar Docker porque las últimas versiones de iOS requieren el uso de una versión de libimobiledevice que aún no está disponible en Linux. Usamos libimobiledevice para respaldar el dispositivo iOS en lugar de usar iTunes.

Esta guía ha sido probada con éxito en Ubuntu 20.04 con:

  •     iOS 13.5.1
  •     iOS 14.5
  •     iOS 14.7


Requisitos

  •     Un sistema operativo basado en Debian
  •     Un acceso root en su computadora
  •     Docker ya instalado
  •     Conocimientos en línea de comandos de Linux


Sigue cada paso en la misma sesión de terminal.

1. Crea un directorio para tus investigaciones

mkdir Pegasus
cd Pegasus


2. Preparar la estructura del directorio

mkdir ioc backup decrypted checked


3. Recuperar IOC proporcionado por Amnistía Internacional

wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2


4. Recuperar el Dockerfile

 

wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile



5. Crear la imagen de Docker

Dependiendo de su configuración, tendríamos que ser root desde este paso hasta el final de la investigación.

docker build -t mvt .


Preparar el dispositivo iOS para ser analizado


6. Conecta dispositivo iOS a su computadora




No lo desconectes hasta el final del procedimiento de copia de seguridad y asegúrese de mantener el dispositivo desbloqueado


7. Detener el mezclador USB

systemctl stop usbmuxd


Este comando puede tomar un poco de tiempo, simplemente espera.


8. Iniciar el contenedor Docker

docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host \
  -v $PWD/ioc:/home/cases/ioc \
  -v $PWD/decrypted:/home/cases/decrypted \
  -v $PWD/checked:/home/cases/checked \
  -v $PWD/backup:/home/cases/backup \
  mvt


Ahora cualquier comando que ejecute se ejecutará dentro del contenedor.

9. Iniciar el mezclador USB

usbmuxd


Es posible que el dispositivo iOS te pregunte si confía en la computadora conectada, confíe en ella.

10. Comprueba si se reconoce el iOS

ideviceinfo


Copia de seguridad del dispositivo iOS

11. Activar  el cifrado de copia de seguridad

idevicebackup2 backup encryption on -i


12. Copia de seguridad del dispositivo iOS

idevicebackup2 backup --full backup/


Una vez hecho esto, puedes desconectar el dispositivo iOS. Ejecuta

 ls -l backup

 para obtener el nombre de la copia de seguridad.


Analizar la copia de seguridad


13. Descifrar la copia de seguridad



mvt-ios decrypt-backup -p <contraseña de respaldo> -d respaldo descifrado/<nombre de respaldo>



Para obtener más detalles y opciones, consulte la documentación de MVT y la nota sobre la contraseña de respaldo. Si ha realizado una copia de seguridad de este teléfono mediante iTunes, la contraseña de la copia de seguridad es la misma que proporcionó en iTunes.


14. Analizar la copia de seguridad

mvt-ios check-backup -o checked --iocs ioc/pegasus.stix2 decrypted


15. Comprobar los resultados

ls -l checked


La carpeta marcada contiene varios archivos JSON. Cualquier coincidencia de IOC se almacena en archivos JSON con el sufijo _detected.


16. Salir del contenedor

exit


17. Guardar los registros de salida

Si deseas conservar los archivos generados durante el procedimiento forense, haz una copia de seguridad de las siguientes carpetas:

  •     backup que contiene la copia de seguridad de iOS
  •     decrypted que contiene la copia de seguridad descifrada
  •     checked que contiene los resultados del análisis MVT


Las capacidades de Pegasus son muchas; es capaz de rastrear desde la ubicación de la víctima hasta sus mensajes privados, además de grabar conversaciones o detectar con qué usuarios ha interactuado la víctima. En un primer momento, Pegasus se expandía mediante mensajes de texto o correos electrónicos para que la víctima descargara el software mediante técnicas de ingeniería social.

 Si temes que tu teléfono pueda estar infectado por Pegasus, la mejor estrategia es mantener al día tus dispositivos y apps y tenerlos actualizados frente a vulnerabilidades de sistema que puedan provocar agujeros de seguridad, para así resolverlos y evitarlos.

 

Fuentes:

https://www.elespanol.com/omicrono/software/como-saber-movil-infectado-pegasus-software-espio-independentistas-catalanes-seo/597941258_0.html

https://sonique6784.medium.com/how-to-detect-spyware-pegasus-on-android-and-ios-68fb94f35657

https://defensive-lab.agency/2021/07/pegasus-ios-forensic/ 


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.