arr33
Miembro muy activo
Pegasus Spyware descompilado y recompilado
VERSIÓN ACTUAL 4.0
LVE-SMP-210010 source: https://lgsecurity.lge.com/bulletins/mobile#updateDetails
Código del spyware descompilado: *** Hidden text: cannot be quoted. ***
Descripción:
Pasos para instalar e investigar las muestras de spyware
- Habilita ADB en tu Android
- Deshabilitar la protección de Android
- Adb instalar muestra # .apk
- Inicie el apk, ejemplo adb shell am start com.xxGameAssistant.pao/.SplashActivity
Actualización: Muestra 5.1
Esta muestra se puede instalar como una aplicación independiente, pero deberá desinstalar la muestra 5.
adb desinstalar com.network.android
La muestra 5.1 también se llama com.network.android
Product Manual: 2013 Edition
Author: Guy Molho - Former NSO Director, Product Management
Author LinkedIn: https://www.linkedin.com/in/guymolho/
Manual original del producto del año 2013: *** Hidden text: cannot be quoted. ***
Validación del autor:
Código:exiftool 2013-NSO-Pegasus.pdf Creator Tool : Adobe Acrobat 8.0 Combine Files Create Date : 2013:12:23 14:53:39-06:00 Metadata Date : 2013:12:23 14:53:39-06:00 Producer : Adobe Acrobat 8.0 Creator : Guy Molho Format : application/pdf
NSO Group Pegasus Indicadores de Compromiso
Este repositorio contiene indicadores de redes y dispositivos comprometidos relacionados con el spyware Pegasus de NSO Group. Estos indicadores son el resultado de múltiples investigaciones del Laboratorio de Seguridad de Amnistía Internacional y otros socios. Se recopiló información técnica adicional como parte de una investigación colaborativa, el Proyecto Pegasus coordinado por Forbidden Stories e involucrando a una red global de periodistas de investigación.
Amnistía Internacional ha publicado un informe de Metodología técnica que describe cómo utilizar estos indicadores para buscar Pegasus y otros productos de spyware para móviles. El Laboratorio de Seguridad de Amnistía Internacional también está lanzando una herramienta de código abierto, Mobile Verification Toolkit (MVT). MVT se puede utilizar con los indicadores pegasus.stix2 para verificar si un dispositivo tiene signos potenciales de compromiso con el software espía Pegasus.
Estos indicadores incluyen:
Repositorio completo con más investigaciones, filtrar por NSO: *** Hidden text: cannot be quoted. ***
- domains.txt: lista de todos los dominios relacionados con Pegasus, con subarchivos:
- v2_domains.txt: lista de infraestructura de Pegasus Versión 2. Estos dominios fueron identificados y publicados previamente por Citizen Lab
- v3_domains.txt: lista de infraestructura de Pegasus Versión 3
- v4_domains.txt: lista de infraestructura de Pegasus Versión 4
- v4_validation_domains.txt: lista de dominios de validación/acortador de URL de Pegasus versión 4
- emails.txt: lista de cuentas de iCloud utilizadas para explotar vulnerabilidades de clic cero en iMessage y otras aplicaciones de Apple
- files.txt: lista de archivos sospechosos
- pegasus.stix2: archivo STIX v2 que contiene IOC que se pueden usar con MVT
- processs.txt: lista de nombres de procesos relacionados con Pegasus identificados en teléfonos comprometidos
Mobile Verification Toolkit
Mobile Verification Toolkit (MVT) es una colección de utilidades para simplificar y automatizar el proceso de recopilación de rastros forenses útiles para identificar un posible compromiso de los dispositivos Android e iOS.
Ha sido desarrollado y publicado por Amnistía Internacional Security Lab en julio de 2021 en el contexto del proyecto Pegasus junto con una metodología técnica forense y pruebas forenses.
Advertencia: MVT es una herramienta de investigación forense destinada a tecnólogos e investigadores. Usarlo requiere comprender los conceptos básicos del análisis forense y usar herramientas de línea de comandos. Esto no está destinado a la autoevaluación del usuario final. Si le preocupa la seguridad de su dispositivo, busque ayuda de expertos.
Instalación:
MVT se puede instalar desde fuentes o desde PyPi (necesitará algunas dependencias, consulte la documentación):
Código:pip3 instalar mvt
Alternativamente, puede decidir ejecutar MVT y todas las herramientas relevantes a través de un contenedor Docker.
Tenga en cuenta: MVT se ejecuta mejor en sistemas Linux o Mac. Actualmente no es compatible con la ejecución nativa en Windows.
Uso: MVT proporciona dos comandos mvt-ios y mvt-android.
ToolKit: *** Hidden text: cannot be quoted. ***
