A organização sem fins lucrativos Anistia Internacional divulgou um manual ensinando como descobrir se um celular está infectado pelo spyware Pegasus. A instituição identificou ataques desde 2014, mas intensificou suas investigações a partir de 2018, com a identificação de ataques de “clique zero”, que não exigem interação do alvo.
O Laboratório de Segurança da organização realizou análises forenses em vários telefones de jornalistas e defensores de direitos humanos. Os investigadores descobriram vestígios deixados em dispositivos iOS e Android após o ataque do programa de espionagem.
A partir disso, a Anistia desenvolveu a ferramenta Mobile Verification Toolkit (MVT), em código aberto, para ajudar pesquisadores e técnicos de segurança da informação a detectar essas ameaças.
Como descobrir se o smartphone está infectado pelo Pegasus
Anistia Internacional desenvolveu ferramenta em código aberto para ajudar a identificar invasão de spyware em celulares. (Fonte: Mobile Verification Toolkit/Reprodução)Fonte: Mobile Verification Toolkit/Reprodução
Para identificar a presença do spyware do grupo NSO, é necessário algum conhecimento técnico e um pouco de paciência. A ferramenta de análise da Anistia parece funcionar melhor nos dispositivos iOS. No Android, o programa apresenta eficiência limitada, mas consegue identificar mensagens SMS e APKs maliciosos.
A verificação requer vários passos. Abaixo, resumimos as principais ações a serem realizadas para identificar a espionagem em um iPhone. Como o processo exige conhecimento técnico, faça por sua conta e risco.
1. Baixe o programa MVT da Anista.
2. Instale o Xcode disponível na App Store.
3. Obtenha o Python3. A maneira mais fácil é instalar o pacote Homebrew, com o comando no terminal:
ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
4. Instale o libimobiledevice, usando o comando no terminal:
brew install --HEAD libimobiledevice
5. Conecte o aparelho via cabo USB e execute o comando ideviceinfo.
6. Faça um backup usando o iTunes ou Finder em um Mac ou PC.
7. Encontre o arquivo do backup criptografado e copie para uma outra pasta.
8. Descriptografe o arquivo de backup.
9. Verifique os arquivos de logs extraídos pelo MVT.
Na página do MVT da Anistia Internacional são oferecidas instruções para fazer a análise de celulares Android, ações que podem ser realizadas a partir do Linux e passos adicionais que podem ser necessários em alguns casos.
Depois de executar o MVT, será exibida uma lista de avisos com arquivos ou comportamentos suspeitos. Um alerta do programa, entretanto, não significa necessariamente que você foi infectado.
Fontes