Meu iPhone está infectado com o spyware Pegasus?
O spyware Pegasus do notório Grupo NSO é usado por governos e outros atores poderosos em todo o mundo para espionar jornalistas, advogados, empresários, cientistas, políticos, ativistas e até mesmo seus amigos e parentes.
Um banco de dados que vazou de 50.000 números de telefone pertencentes a vítimas suspeitas foi analisado por Forbidden Stories e Amnistia Internacional. Alguns dispositivos examinados pelos investigadores mostram evidências de ataques de Pegasus. O grupo NSO contesta as descobertas e afirma que seu software se destina apenas ao uso contra criminosos.
Então, o que o spyware Pegasus faz? E como você pode verificar se está no seu iPhone?
Como o spyware Pegasus infecta dispositivos?
O spyware pode atacar iPhones e dispositivos Android remotamente usando métodos de “clique zero”, sem que os usuários façam nada.
Pegasus pode ser instalado via WhatsApp, iMessage, um SMS silencioso, chamadas perdidas e outros métodos atualmente desconhecidos.
O que o Spyware Pegasus pode fazer?
O spyware permite que os invasores tenham acesso completo aos seus dados e permite que eles façam coisas que até você, o proprietário, está impedido de fazer. Todas as suas mensagens, e-mails, bate-papos, dados de GPS, fotos e vídeo e muito mais podem ser enviados silenciosamente de seu dispositivo para quem estiver interessado em você.
Os invasores podem usar seu microfone para gravar suas conversas privadas e usar a câmera para filmar você secretamente.
Como posso remover o spyware Pegasus?
No momento, não há maneira segura de remover Pegasus. Não está claro se até mesmo uma redefinição de fábrica funcionaria, pois o spyware pode persistir nos níveis mais baixos do código do sistema.
Se o seu telefone estiver infectado, a melhor solução pode ser alterar o dispositivo e o número. Claro, um novo Android ou iPhone pode ser comprometido facilmente como o anterior, embora a Apple tenha lançado a atualização do iOS 14.7.1, que é pensada para resolver algumas das explorações envolvidas.
Existem alternativas sérias para os telefones iOS e Android?
No momento em que este artigo foi escrito, o ecossistema do sistema operacional móvel sofreu uma séria falta de diversidade e até mesmo garfos Android mais rígidos, como o Graphene OS ou o Calyx, podem não oferecer proteção. A segurança através da obscuridade pode ser aplicável neste caso e um dispositivo rodando Sailfish OS da Jolla ou talvez um Librem 5 rodando Pure OS são as principais alternativas.
Como posso verificar se meu iPhone foi infectado com spyware Pegasus?
Felizmente, a Amnistia Internacionallançou uma ferramenta chamada MVT que permite aos utilizadores verificar se o seu dispositivo foi atacado por malware NSO. Embora a ferramenta de linha de comando seja projetada para investigadores forenses, parte da detecção é automatizada e deve fornecer informações suficientes para decidir se vale a pena investigar mais, mesmo se você não for um profissional de segurança.
No momento, os iPhones parecem ser o alvo mais comum e os investigadores também descobriram que os dispositivos da Apple fornecem as evidências mais detalhadas de invasões. Leia nosso guia de instalação e uso do software de detecção com o seu iPhone.
O que eu preciso para verificar se há spyware Pegasus em meu iPhone?
Para simplificar o processo e permitir que você execute a ferramenta no macOS, Linux ou Windows, usaremos um contêiner Docker especialmente preparado para MVT. Portanto, primeiro, você precisará instalar o Docker em sua máquina. Temos instruções para instalar o Docker no Ubuntu e como você pode inicializar o Ubuntu em seu computador Windows ou Apple .
Como configuro meu computador para verificar se há Pegasus no meu iPhone?
Fornecemos cada comando passo a passo abaixo e os comandos de várias linhas devem ser digitados por completo antes de pressionar a tecla Enter.
Primeiro, abra um terminal e crie uma pasta para armazenar os arquivos que usaremos, digitando este comando e pressionando Enter:
mkdir Pegasus
Em seguida, vá para a pasta Pegasus digitando:
cd Pegasus
Agora você precisa criar pastas para MVT. Modelo:
mkdir ioc backup decrypted checked
Em seguida, você precisa obter um arquivo contendo indicadores de comportamento suspeito. Digitar:
wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2 -O ioc/pegasus.stix2
Sua próxima etapa é recuperar o arquivo MVT Docker. Modelo:
wget https://raw.githubusercontent.com/mvt-project/mvt/main/Dockerfile -O Dockerfile
Agora, para configurar a imagem Docker, digite:
docker build -t mvt
Como preparo meu iPhone para análise MVT?
Primeiro, você provavelmente desejará impedir que a tela do iPhone seja desligada durante o processo. Toque no ícone Configurações e em Tela e brilho> Bloqueio automático> Nunca para garantir que a tela do iPhone permaneça ligada.
Em seguida, conecte seu dispositivo iOS na porta USB do seu computador. Agora você precisa parar o daemon USB que controla as conexões entre seu computador e seu dispositivo iOS. Modelo:
systemctl stop usbmuxd
Você pode ter que esperar um pouco para que este processo termine e retorne ao prompt de comando $ . Agora execute o contêiner do Docker digitando este comando inteiro:
docker run -it --privileged --rm -v /dev/bus/usb:/dev/bus/usb --net=host
-v $PWD/ioc:/home/cases/ioc
-v $PWD/decrypted:/home/cases/decrypted
-v $PWD/checked:/home/cases/checked
-v $PWD/backup:/home/cases/backup
mvt
Pressione Enter após mvt . Agora você está trabalhando dentro do contêiner do Docker e seu prompt de comando deve mudar para algo como: root @ yourmachine: / home / cases # Inicie o daemon USB novamente digitando:
usbmuxd
Seu iPhone deve exibir uma mensagem perguntando se você deseja confiar no computador, então pressione Confiar e digite a senha do seu iPhone, se solicitado.
Verifique se o iPhone está conectado ao computador digitando:
ideviceinfo
Uma conexão bem-sucedida deve despejar resmas de dados técnicos no terminal. Se você receber um erro "dispositivo não detectado", tente reiniciar o iPhone e repetir o comando.
Agora você está pronto para fazer um backup em seu computador. Um backup criptografado permite que o processo reúna mais informações do dispositivo, portanto, se você não tiver uma senha protegendo seu dispositivo, será necessário ativar a criptografia digitando:
idevicebackup2 backup encryption on -i
Se você já tiver a criptografia ativada, o terminal irá informá-lo. Caso contrário, escolha uma senha e digite-a quando solicitado. Agora, para executar o backup, digite:
idevicebackup2 backup --full backup/
Dependendo da quantidade de informações no seu dispositivo, este procedimento pode demorar um pouco. Para confirmar se o backup foi bem-sucedido, digite:
Run ls -l backup
Isso deve fornecer o nome do backup de que você precisará para a próxima etapa. Agora que o backup está no seu computador, você pode descriptografá-lo digitando:
mvt-ios decrypt-backup -p <enter your backup password here> -d decrypted backup/<enter backup folder name here>
O comando que você inserir deve ser semelhante a este:
mvt-ios decrypt-backup -p password1234 -d decrypted backup/4ff219ees421333g65443213erf4675ty7u96y743
Com o backup descriptografado, você pode prosseguir para o estágio de análise. Para analisar o backup, a ferramenta MVT irá compará-lo com um arquivo stix2 contendo exemplos de atividades maliciosas. Para executar a comparação, use:
mvt-ios check-backup -o checked --iocs ioc/pegasus.stix2 decrypted
O MVT criará uma série de arquivos JSON contendo os resultados da comparação. Você pode verificar esses resultados com este comando:
ls l checked
Agora abra a pasta chamada "marcada" dentro da pasta principal do Pegasus. Procure qualquer arquivo JSON com _detected no final de seus nomes de arquivo. Se não houver nenhuma, a ferramenta não foi capaz de encontrar evidências de uma infecção por Pegasus. Se existirem arquivos _detectados, você pode copiar as pastas chamadas backup, descriptografadas e verificadas em um local criptografado seguro para referência futura.
Para sair do contêiner do Docker, digite:
exit
E se MVT encontrar evidências de um ataque de Pegasus?
Se houver alguns arquivos marcados como _detectados, provavelmente é hora de entrar em contato com um profissional de segurança cibernética e alterar seu telefone e número.
Você deve manter seu telefone infectado como prova, mas desligue-o e mantenha-o isolado e longe de qualquer conversa importante, de preferência em uma gaiola de Faraday.
Você deve desautorizar seu telefone de todos os serviços online e usar outra máquina para alterar a senha em todas as contas acessadas por meio do dispositivo suspeito.
Como posso proteger meu iPhone da Pegasus?
Este spyware usa muitos métodos de ataque conhecidos e desconhecidos, mas existem algumas etapas que você pode seguir para reduzir suas chances de ser comprometido:
- Nem é preciso dizer que você precisa proteger seu telefone com um PIN ou, de preferência, com uma senha forte.
- Atualize o sistema operacional regularmente.
- Desinstale aplicativos que você não usa para minimizar a superfície de ataque. Facetime, Apple Music, Mail e iMessage são conhecidos por serem vulneráveis à infecção por Pegasus, mas você provavelmente usa pelo menos alguns deles.
- Reinicie o telefone pelo menos uma vez por dia, pois isso pode limpar o spyware da RAM e dificultar o funcionamento adequado.
- Não clique em links em nenhuma mensagem de números desconhecidos, mesmo se você estiver esperando a entrega de um pacote.
Pegasus: Você deveria estar preocupado?
Pegasus é um dos piores exemplos de spyware que vimos até agora. Embora o número de pessoas supostamente afetadas até agora não seja enorme em um nível global, o fato de que os invasores podem visar um dispositivo com esses métodos de clique zero significa que todos os dispositivos com os mesmos sistemas operacionais estão vulneráveis.
Pode ser apenas uma questão de tempo antes que outros grupos replicem as técnicas da Pegasus e isso deve ser um alerta para que todos levem a segurança móvel muito mais a sério.