Pegasus

Pegasus est un logiciel espion conçu pour attaquer les smartphones iOS et Android. Il a été conçu en 2013. Lorsqu’il est installé sur l’appareil, il accède aux fichiers, messages, photos et mots de passe, écoute les appels et peut déclencher l’enregistrement audio, la caméra ou la géolocalisation.

Comment il est installé ?

Pour être infecté par Pegasus, il y a plusieurs options :

  • spear phishing ou hameçonnage: l’utilisateur clique sur un lien envoyé via un sms ou un iMessage
  • Redirection internet
  • communication sans fil : il s’agit d’utiliser la compétence « zero click » qui fonctionne avec la vulnérabilité de « zero day ». il utilise l’application comme iMessage, Apple Music, WhatsApp, etc. De cette façon installer Pegasus sans aucune action de l’utilisateur

Comment vérifier votre iPhone si infecté Pegasus?

 

Pegasus

Le Laboratoire de Sécurité d’Amnesty International (AISL) a développé une application qui permet de vérifier si l’iPhone est infecté. C’est la même application pour Android.

Cette application est Mobile Verification Toolkit (MVT). Il est permis de vérifier la recherche de traces de logiciels espions.

 

Comment fonctionne t-elle?

Le MVT ne fonctionne que sur Linux ou macOS. Pour l’installer et l’utiliser, vous avez besoin de 2 choses :

  • MVT nécessite Python 3.6+ pour fonctionner.
  • Des connaissances (ou des bases) en Linux.

Pour procéder :

  1. Vous devez sauvegarder les données de votre téléphone sur un ordinateur
  2. Utiliser le terminal ou la ligne de commande. La vérification est similaire à un appareil iOS et Android. Sous Linux, vous devrez utiliser un outil en ligne de commande avec libimobiledevice pour générer une sauvegarde. Comme je l’ai dit MVT besoin de Python 3.6+ pour fonctionner et Xcode (sur Mac). Xcode peut être téléchargé à partir d’AppStore. Mais Python 3.6+ devrait être installé en installant Homebrew.
  3. Télécharger MVT

Ensuite, connectez votre appareil iOS à votre ordinateur via USB et exécutez.

 

  1. Télécharger MVT et l"installer

Sur Linux : Installer

  1. Les prérequis avec la commande sudo apt install python3 python3-pip libusb-1.0-0
  2. MVT avec la commande pip3 install mvt

Sur MacOS: Installer

  1. Brew avec cette commande/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
  2. Les prérequis avec la commande brew install python3 libusb
  3. MVT avec pip3 install mvt

 

  1. Faire une sauvegarde. S’il est sur Mac avec iPhone Lancez iTunes et créez ensuite une sauvegarde locale de votre téléphone, en vous assurant qu’il est crypté. Ou vous pouvez utiliser Finder.
  2. Utiliser MVT pour décrypter les données à l’aide de la commande: mvt-ios decrypt-backup -p <Mot_de_Passe> -d <CHEMIN_DE_DESTINATION> <CHEMIN_BACKUP_CHIFFRE>
  3. Analysis of the decrypted backup: mvt-ios check-backup --output <DESTINATION_ANALYSE> --iocs <LOCATION_IOCS>/pegasus.stix2 <LOCATION_BACKUP_DECRYPT> : {DESTINATION ANALYSE MVT Results Inventory}. {LOCATION_IOCS} Localisation fichier Pegasus.stix2.{LOCATION_BACKUP_DECRYPT} répertoire de votre sauvegarde décryptée.

Si l’analyse a trouvé des éléments suspects, cela signifie que vos appareils peuvent être infectés par Pegasus. S’il est infecté envoyer une demande au support client