Cómo detectar si tu iPhone ha sido infectado por el malware Pegasus

No hace mucho saltó la noticia que distintos dirigentes políticos catalanes y del Gobierno de España fueron espiados usando el software Pegasus en sus teléfonos móviles. El programa de la empresa israelita NSO, se hizo famoso de la noche a la mañana así como la repercusión en prensa de la noticia del espionaje. En esta entrada el blog no vamos a hablar de las consecuencias políticas del caso, no es nuestro tema, sino de como puedes utilizar la herramienta iMazing para saber si tu iPhone ha sido infectado con el software espía.

Los ataques con el malware Pegasus, han tenido lugar, según lo que han podido investigar hasta el momento distintos medios, entidades y investigadores, desde 2014 hasta julio de 2021. Las infecciones se produjeron tanto en teléfonos con iOS y con Android e incluyeron ataques de 0 click que no requieren ninguna interacción del dueño del mismo utilizando vulnerabilidades en las aplicaciones de SMS o WhatsApp de ambos sistemas.

Usando facilmente iMazing, el MVT de Aministia Internacional

En julio de 2021, el Laboratorio de seguridad de Amnistía internacional presentó el MVT (Mobile Verification Toolkit), una herramienta de investigación forense destinada a tecnólogos e investigadores que requiere comprender los conceptos básicos del análisis forense y usar herramientas de línea de comandos. Aunque no es una herramienta destinada a la autoevaluación del usuario final, si se tienen conocimientos, se puede descargar, instalar y usar en la siguiente web de Github.

Pegasus es un escurridizo spyware que no es nada fácil de detectar, pues se aprovecha de agujeros de seguridad para escalar privilegios en los móviles que infecta, hace su trabajo de forma transparente y hace todo lo posible por borrar las huellas de su paso por el terminal. MVT identificará cualquier indicador coincidente de Pegasus que se encuentre en el dispositivo y puede ayudar a identificar si un iPhone se ha visto comprometido.

Pero si no tienes experiencia con el terminal y con la ejecución de scripts python, iMazing es la solución para poder chequear si estás infectado. Esta aplicación es una herramienta multiuso destinada a realizar distintas tareas con tus dispositivos iOS, como realizar copias de seguridad, transferir archivos o exportar datos. Es una aplicación que se puede instalar en un Mac o un PC y que tiene un coste de 29,99€ para 1 dispositivo si queremos usar todas las funcionalidades.

La buena noticia es que la detección del spyware Pegasus, tal com explican en su web, es totalmente gratuita y segura. iMazing ha incorporado la herramienta MVT para que cualquier persona pueda escanear sus dispositivos en busca de posibles infecciones de manera sencilla y en pocos pasos.

¿Cómo detectar si Pegasus a infectado un iPhone?

Primeramente hay que descargar la herramienta de desde la página web de iMazing. Una vez descargada e instalada en nuestro ordenador, tendremos que conectar nuestro dispositivo iOS y seleccionar “Detectar spyware” en la barra lateral izquierda.

En los siguientes pasos, el programa iMazing te permite personalizar el comportamiento del analizador. Para un escaneo estándar, puedes dejar las opciones predeterminadas como están y hacer clic en Siguiente.

De forma predeterminada, iMazing descargará una lista de direcciones de correo electrónico, enlaces, nombres de procesos y nombres de archivos maliciosos conocidos de archivos STIX disponibles públicamente. Los usuarios más avanzados pueden proporcionar sus propios archivos STIX con fines de investigación seleccionando “Cargar” archivos STIX de la carpeta local y eligiendo una carpeta que contenga al menos 1 archivo .stix o .stix2.

Para poder analizar tu dispositivo, iMazing debe realizar una copia de seguridad del mismo en tu propio ordenador. Así que asegúrate de tener espacio suficiente y de marcar la opción de encriptar el backup si así lo deseas en la siguiente pantalla:

Ahora sólo tendrás que aceptar la licencia y esperar a que el proceso finalice. Este proceso puede tardar bastantes minutos ya que realizar la copia de seguridad dependerá de la cantidad de información que haya en tu dispositivo.

Al finalizar el proceso, puedes tener dos resultados posibles, que tu dispositivo esté infectado o que no lo esté. Si la detección es positiva, es decir, se han encontrado indicios de infección, podrás ver el mensaje ”Positive detection” como se muestra a continuación.

En caso de que veas un positivo, caso poco probable, desde iMazing solicitan que les mandes el informe de resultados para descartar un falso positivo. En ese caso, mientras no conoces el resultado final,  te recomiendan quitar la SIM de tu iPhone y apagarlo.