303 - En busca de Pegasus y otras infecciones en Android

PodcastPodcast

303 - En busca de Pegasus y otras infecciones en Android

Sobre el análisis forense en busca de Pegasus y otras infecciones en Android con el Mobile Verification Toolkit de Amnistia Internacional

1:25
-3:15

Con independencia del reciente caso de Pegasus, que comentaré mas adelante, lo cierto es que las ataques a tu móvil son algo que se ha convertido en habitual. Ahora tienes que andar con mil ojos. Malware bancario, ransomware, spyware, troyanos… Me faltan palabras en el diccionario para describir todas las amenazas a las que puedes estar sometido. Desde luego, como suelo decir habitualmente, si quieres que tu móvil esté seguro, lo mejor es que no tengas móvil… y ni con esas, estarás seguro. En cualquier caso, siempre tienes la incertidumbre de si tu móvil está comprometido. En ese caso, si quieres puedes realizar un análisis forense en busca de infecciones en Android.

Que conste que un análisis forense en busca de infecciones en Android, no quita que tu móvil pueda estar infectado. Solo indica que que lo que has revisado no está comprometido, nada mas. Lo mejor como de costumbre es que protejas tu dispositivo.

Sobre el análisis forense en busca de Pegasus y otras infecciones en Android con el Mobile Verification Toolkit de Amnistia Internacional

En busca de Pegasus y otras infecciones en Android

Sobre las amenazas

Como te adelantaba en la introducción, estamos sometidos a un amplio y diverso abanico de amenazas, desde las mas simples hasta las mas elaboradas. Para poder realizar un análisis forense en busca de infecciones en Android, es necesario conocer las amenazas a las que nos enfrentamos. Algunas de estas amenazas, son las siguientes,

El malware bancario

Este ataque está diseñado para robar tus credenciales bancarias, es decir, tu usuario y contraseña. ¿Como llega el malware bancario a mi móvil?. Básicamente a partir de enlaces ya sea en SMS, mensajes de WhatsApp o de cualquier otro cliente de mensajería, correo electrónico o redes sociales. O también desde aplicaciones maliciosas. No hay vuelta de hoja, el problema siempre eres tu. Es un error de capa 8. Hay veces que no podemos evitarlo, pero en general no hagas clic en ningún enlace, nunca.

Ransomware

Existen diferentes tipos de ransomware, aunque los mas comunes son, el criptográfico y el bloqueador. El primero lo que hace es cifrarte los archivos, de forma que no puedes acceder a ellos. Mientras que el segundo, te impide el acceso al dispositivo. El primero es mas frecuente en los ordenadores personales, mientras que el segundo en los móviles.

Algún Ransomware tristemente famoso, es WannaLocker, DoubleLocker que cifra tus datos de usuario y cambiar el PIN, LeakerLocker que te amenaza con compartir tus datos personales, fotografías, historial de navegación, con todos los contactos de tu móvil.

Spyware

Se trata de una aplicación que monitoriza toda tu actividad, historial de navegación, contactos, llamadas, ubicación, básicamente todo lo que haces. Según indica Kapersky, las agencias gubernamentales tienen la potestad de inyectar spyware via iTunes.

Un ejemplo de esto es Flubot, aunque popularmente se conoce como la estafa de FedEx. El funcionamiento es sencillo. Te llega un SMS, a tu nombre, diciendo que te van a entregar un paquete, y que para gestionar la entrega, te tienes que descargar e instalar una aplicación. Una vez instalada la aplicación, se encargará de registrar todo lo que escribas en el teléfono e infectará a otras personas que tengas en tus contactos.

Troyanos de SMS y MMS

Envían mensajes de texto a números de pago. Esto puede llevar a suscribirte servicios premium que seguro que no te van a interesar y que pueden costar un ojo de la cara y parte del otro.

¿Como protegernos de todas estas amenazas?

Estas indicaciones son generales para cualquier tipo de malware no solo el bancario,

  • Tu móvil siempre tiene que estar actualizado.
  • Instala aplicaciones únicamente de la tienda oficial de Google.
  • Los permisos, los mínimos posibles. Existe la opción de que solo tengan permiso mientras la estás utilizando. Mejor este permiso.
  • No hagas clic en ningún enlace, con independencia de que sea de alguien conocido.

¿Como sospechar si mi móvil está infectado?

  • Va mas lento de lo habitual
  • Anuncios y pop-ups que antes no aparecían.
  • Barras de herramientas, nuevos motores de búsqueda, una nueva página de inicio que por supuesto tu nunca instalaste.
  • La batería se gasta más rápidamente de lo habitual.
  • Mayor uso de datos de lo normal. Si tienes una tarifa ilimitada, esto es mas complicado de detectar, por el simple hecho de que no te fijas, normalmente, en el consumo de datos. Lo que si que está claro, es que si se gasta la batería a mayor ritmo, esto si que te molesta, y además mucho.
  • Existe una opción para instalar software que no se encuentra en la Google Play Store. Esta configuración tiene que estar desactivada por defecto. Sin embargo, si la encuentras activada, sospecha. También, puedes ver que aplicaciones tiene permisos para instalar otras aplicaciones.

Como eliminar el spyware

  • Si tienes el teléfono rooteado, devuélvelo a su estado original. Cierto tipo de malware requiere que el dispositivo esté rooteado para hacer su magia.
  • Inicia el teléfono en modo seguro y sin conexión, y desinstala todo lo que sea sospechoso.
  • Restablece la configuración de fábrica. Aunque evidentemente esto te llevará a perderlo todo.

Pegasus

Parece que todo empezó con Pegasus, pero nada mas lejos de la realidad como has podido leer hasta el momento. Pegasus es un spyware disponible para Android y iOS. Para instalar este spyware, se utilizan vulnerabilidades de determinadas aplicaciones con WhatsApp, iMessage, y otros. Una vez instalado es capaz de recoger cualquier tipo de información del dispositivo y enviarlo al atacante. Y cuando digo cualquier tipo de información, me refiero a todo, SMA, correo, WhatsApp, fotos, vídeos. Pero además es capaz de activar la cámara, el micrófono… Vamos que es capaz de hacer casi cualquier cosa con tu móvil.

Pegasus es un software implementado por la empresa NSO Group con el objetivo puesto en criminales y terroristas. Sin embargo, se ha descubierto por una filtración, que donde dije digo digo Diego, vamos que se espía a todo tipo de objetivos, periodistas, activistas, empresarios, famosos, políticos, vamos a cualquiera.

Mobile Verification Toolkit (MVT)

Amnistía Internacional ha liberado una herramienta llamada Mobile Verification Toolkit (MVT), disponible desde un repositorio de GitHub, que te permite saber si tu móvil está comprometido, para ello hace un análisis forense en busca de infecciones en Android y también en iOS. Sin embargo, yo me centraré en Android que es lo que he podido probar y comprobar.

Para instalarlo, simplemente tienes que ejecutar la siguiente instrucción en un terminal,

pip3 install --user mvt

Antes de realizar la comprobación de tu dispositivo, recuerda que tienes que tener habilitado el modo de depuración. El siguiente paso, comprobar el dispositivo,

mvt-android check-adb

Luego puedes comprobar todas las aplicaciones que tienes instaladas. Para ello, necesitarás espacio en tu equipo, porque se va a descargar todas las aplicaciones al ordenador. En mi caso he necesitado 5 GB. La instrucción a ejecutar es,

mvt-android download-apks --output /home/lorenzo/kk --all-checks

El siguiente paso es comprobar los SMS, para esto primero descarga todo lo que necesitas,

wget https://github.com/nelenkov/android-backup-extractor/releases/download/20210709062403-4c55371/abe.jar
wget https://raw.githubusercontent.com/AmnestyTech/investigations/master/2021-07-18_nso/pegasus.stix2?source=korben.info -O pegasus.stix2

Si no tienes instalado el runtime de Java, instalalo,

sudo apt install default-jre

A revisar los SMS,

adb backup com.android.providers.telephony
java -jar abe.jar unpack backup.ab backup.tar
tar xvf backup.tar 
mvt-android check-backup --output . .
adb kill-server
mvt-android check-backup --output . --iocs pegasus.stix2 .

Puedes ver el contenido de todos los sms con enlaces para ver si encuentras alguno sospechoso.

vim sms.json 

Espero que te haya gustado este nuevo episodio del podcast. Si puedes, te agradecería una valoración en iVoox y/o en Apple Podcast.

Imagen de portada de Michael Geiger

2 comentarios en “En busca de Pegasus y otras infecciones en Android

  1. Henryk hace 3 meses

    Hola. Utilizo Debian 11. Al instalar MVT tuve un monton de errores. Por ejemplo:
    AttributeError: module ‘posixpath’ has no attribute ‘makedirs’
    INFO [mvt.android.modules.adb.files] Running module Files…
    ERROR [mvt.android.modules.adb.files] Error in running extraction
    from module Files: module ‘posixpath’ has no attribute
    ‘makedirs’

  2. Juan Antonio hace 2 meses

    Hola! En primer lugar, muchas gracias por el post, Lorenzo. En mi caso he tenido algún problemilla, pero me ha funcionado bien. Yo utilizo LineageOS y, aunque no es exactamente Android, pude hacer la comprobación de todas formas. En el ordenador tengo Debian 11. A modo de feedback, y por si le sirve a más gente, te comento los problemas que tuve y cómo los solucioné:
    1. El software de Amnistía Internacional no queda registrado en el PATH. Hay que registrar la ruta al software en el PATH o ejecutar el software indicando la ruta completa: /home/usuario/.local/bin/[comando]
    2. El teléfono me pedía autorización cada vez que ejecutas un comando desde el ordenador. Hay que ser muy-muy rápido con la respuesta en el teléfono porque el comando se cancela si no respondes a la velocidad del trueno. De hecho tuve que repetir varias veces porque no era capaz a responder tan rápido.
    3. La última parte de la comprobación, donde se verifican los SMS del teléfono, hay que hacerla desde el directorio donde estás guardando los distintos archivos de la verificación del virus. En otras palabras, es mejor crear un directorio donde hacer todo este trabajo, dejar ahí los distintos archivos y hacer en él la última parte de la verificación.
    De nuevo muchas gracias por esta entrada del blog, Lorenzo. Yo había empezado a leer las instrucciones «oficiales» del software y me estaban entrando sudores fríos. Tus indicaciones son muuuucho más sencillas y se agradecen un montón.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *