Infettati da Pegasus? Scoprilo con lo strumento di Amnesty

Per tutti coloro che hanno il timore di essere infettati da Pegasus, Amnesty International ha rilasciato uno strumento totalmente gratuito per controllare se vi sia stata o meno l'installazione dello spyware sul proprio dispositivo. Come detto nel nostro approfondimento su Pegasus, lo spyware realizzato dall'azienda israeliana NSO, ha permesso ad alcuni governi di tenere sotto stretto controllo lo smartphone Android o iOS di persone come politici, giornalisti, manager e molti altri ancora.

Proprio con il fine di verificare se il proprio smartphone è sia stato colpito dallo spyware Pegasus, Amnesty International ha rilasciato uno strumento che consente di controllare accuratamente tutte le potenziali tracce.

La procedura richiede un po' di competenze tecniche e molta pazienza. Sul sito ufficiale di Amnesty è stato creato un wiki dedicato al Mobile Verification Toolkit (MVT) attraverso cui è possibile svolgere analisi forense di dispositivi iOS e Android.

Tra le capacità di MVT vi sono la decifrazione dei backup iOS crittografati, l'elaborazione e l'analisi di numerosi database, logo, app di sistema, l'estrazione delle applicazioni installate potenzialmente dannose su Android, l'estrazione delle informazioni diagnostiche dai dispositivi Android tramite protocollo adb e molto altro ancora.

In primis, per utilizzare lo strumento Mobile Verification Toolkit è necessario effettuare il backup del telefono su un computer separato e ed eseguire un processo di controllo su tale backup.

Per scaricare lo strumento Mobile Verification Toolkit di Amnesty è necessario accedere alla repository su GitHub. Tutti i passaggi necessari a controllare l'infezione da Pegasus dovranno essere svolti tramite riga di comando direttamente da terminale.

Un ulteriore aspetto è che l'intero procedimento, a detta di Amnesty stessa, funziona meglio sui dispositivi iOS rispetto ad Android. MVT, infatti, lavora in modo limitato sui backup dei telefoni Android, anche se può constatare la presenza di SMS, APK potenzialmente dannosi ed eventuali file di log rimasti.

Nella nostra prova, seguendo le istruzioni messe a disposizione da parte di Amnesty, abbiamo impiegato circa 10 minuti per la verifica, oltre al tempo necessario per un nuovo backup del proprio dispositivo.

Ad esempio per verificare se si è infettati da Pegasus, controllando sull'iPhone, è necessario effettuare un backup crittografato utilizzando iTunes o Finder sul Mac o PC.

Per installare Mobile Verification Toolkit su Mac sarà necessario scaricare in primis Xcode, direttamente dall'App Store e poi Python3, prima di procedere con il software di Amnesty.

Per installare Python 3 è possibile appoggiarsi a Homebrew tramite il seguente script all'interno del terminale:

• /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

Terminata l'installazione di Homebrew sarà possibile installare Python 3 con il seguente script:

• brew install python3 libusb sqlite3

A quel punto sarà possibile installare MTV e lanciarlo sulla cartella di backup, quest'ultima preferibilmente posizionata sul desktop. Per l’installazione, Amnesty consiglia di procedere con i seguenti comandi:

• export PATH=$PATH:~/.local/bin
• pip3 install mvt

o in alternativa al posto di utilizzare il comando pip3 install, scaricare MVT dalla repository aggiornata di Github con i seguenti comandi:

• git clone https://github.com/mvt-project/mvt.git
• cd mvt
• pip3 install .

A livello di verifica del backup, una volta installato correttamente MVT, sarà necessaria una riga di comando simile alla seguente:

• mvt-ios decrypt-backup -p PASSWORD -d decrypt ~/Desktop/backup/originale

Dopo aver eseguito il programma di Amnesty, all'interno del terminale saranno presenti un elenco di avvisi che elencano file o comportamenti sospetti, come eventuali reindirizzamenti presenti nella cronologia web.

Allo stesso modo, alcuni errori potrebbero essere generati dalla ricerca di app non presenti sullo smarttphone. É importante, quindi, comprendere come un avviso non significhi necessariamente che il telefono sia stato infettato, bensì per verificare la compromissione di file da parte dello spyware Pegasus è richiesto qualche passaggio in più.

Nel dettaglio, durante la scansione, per controllare eventuali file compromessi e infettati da Pegasus è importante verificare il file Indicator of Comprimise (IOC) fornito da Amnesty con il nome pegasus.stix2. Così facendo, di fatto, sarà possibile epurare dai risultati di ricerca tuti i potenziali falsi positivi.

Infine, ricordiamo che Amnesty all'interno del proprio wiki costantemente aggiornato fornisce solamente istruzioni per l'installazione di MVT su sistemi macOS e Linux.

Per tutti coloro che hanno un computer Windows è necessario procedere all'installazione del Windows Subsystem for Linux (WSL) e seguire, successivamente, le istruzioni dedicate a Linux sulla guida di Amnesty. Per utilizzare WSL sarà anche necessario scaricare e installare una distribuzione Linux, come Ubuntu, e ciò comporterà un po' di tempo prima che sia possibile verificare la presenza o meno di un'infezione da Pegasus.