{"id":18973,"date":"2022-02-15T15:45:21","date_gmt":"2022-02-15T18:45:21","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18973"},"modified":"2022-02-15T15:45:21","modified_gmt":"2022-02-15T18:45:21","slug":"how-to-protect-from-pegasus-spyware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/how-to-protect-from-pegasus-spyware\/18973\/","title":{"rendered":"Proteja seu smartphone do Pegasus e outros malwares mobile"},"content":{"rendered":"

Possivelmente a maior hist\u00f3ria de 2021 \u2014 uma investiga\u00e7\u00e3o do The Guardian e de outras 16 organiza\u00e7\u00f5es de m\u00eddia, publicada em julho \u2014que mais de 30.000 ativistas de direitos humanos, jornalistas e advogados em todo o mundo podem ter sido alvos de um ataque usando Pegasus. O Pegasus \u00e9 conhecido como \u201csoftware de vigil\u00e2ncia legal\u201d e foi desenvolvido pela empresa israelense NSO. O relat\u00f3rio, chamado Projeto Pegasus<\/a>, alegou que o malware foi amplamente implantado por meio de uma variedade de exploits, incluindo v\u00e1rios iOS zero-click zero-days.<\/p>\n

Com base na an\u00e1lise forense de in\u00fameros dispositivos m\u00f3veis, o Laborat\u00f3rio de Seguran\u00e7a da Anistia Internacional descobriu que o software era usado repetidamente de forma abusiva para vigil\u00e2ncia. A lista de indiv\u00edduos alvos inclui 14 l\u00edderes mundiais e muitos outros ativistas, defensores dos direitos humanos, dissidentes e figuras da oposi\u00e7\u00e3o.<\/p>\n

Mais tarde, em julho, representantes do governo israelense visitaram os escrit\u00f3rios do NSO<\/a> como parte de uma investiga\u00e7\u00e3o. Em outubro, a Suprema Corte da \u00cdndia organizou um comit\u00ea t\u00e9cnico para investigar o uso da Pegasus<\/a> e espionar seus cidad\u00e3os. A Apple anunciou, em novembro, que estava tomando medidas legais contra o NSO Group<\/a> por desenvolver software que visa atacar os usu\u00e1rios com \u201cmalware malicioso e spyware\u201d. Por \u00faltimo, mas n\u00e3o menos importante, em dezembro, a Reuters publicou que os telefones do Departamento de Estado dos EUA foram hackeados<\/a> com o malware NSO Pegasus, como alertado pela Apple.<\/p>\n

Nos \u00faltimos meses, recebi muitas perguntas de usu\u00e1rios preocupados em todo o mundo sobre como proteger seus dispositivos mobile do Pegasus e outras ferramentas e malware semelhantes. Estamos tentando abordar isso no artigo atual, com a observa\u00e7\u00e3o de que nenhuma lista de t\u00e9cnicas de defesa pode ser exaustiva. Al\u00e9m disso, \u00e0 medida que os cibercriminosos mudam seu modus operandi, as t\u00e9cnicas de prote\u00e7\u00e3o tamb\u00e9m devem ser adaptadas.<\/p>\n

Como ficar a salvo da Pegasus e de outros spywares mobile avan\u00e7ados<\/h2>\n

Em primeiro lugar, devemos come\u00e7ar dizendo que Pegasus \u00e9 um toolkit vendido para estados e pa\u00edses a pre\u00e7os relativamente altos<\/strong>. O custo de uma implanta\u00e7\u00e3o completa pode facilmente atingir milh\u00f5es de d\u00f3lares. Da mesma forma, outros malwares mobile de APT podem ser implantados por meio de exploits de zero-day e zero-click. Estes s\u00e3o extremamente caros \u2014 como exemplo, a Zerodium, uma corretora de exploit paga at\u00e9 US$ 2,5 milh\u00f5es por uma cadeia de infec\u00e7\u00e3o zero-click do Android com persist\u00eancia:<\/p>\n

\"Na

Na lista de pre\u00e7os da Zerodium, as vulnerabilidades de persist\u00eancia alcan\u00e7am US$ 2,5 milh\u00f5es<\/p><\/div>\n

\u00a0<\/p>\n

Desde o in\u00edcio, isso leva a uma importante conclus\u00e3o \u2014 a ciberespionagem patrocinada por pa\u00edses \u00e9 um esfor\u00e7o muito engenhoso. Quando um ator amea\u00e7ador pode se dar ao luxo de gastar milh\u00f5es, potencialmente dezenas de milh\u00f5es ou mesmo centenas de milh\u00f5es de d\u00f3lares em seus programas ofensivos, \u00e9 muito improv\u00e1vel que um alvo n\u00e3o seja capaz de evitar o ataque. Colocar isso em palavras mais simples, se voc\u00ea \u00e9 alvo de tal a\u00e7\u00e3o, n\u00e3o \u00e9 uma quest\u00e3o de \u201cse voc\u00ea pode se infectar\u201d, \u00e9 realmente apenas uma quest\u00e3o de tempo e recursos antes de ser infectado<\/strong>.<\/p>\n

Mas existe uma boa not\u00edcia \u2013 explorar o desenvolvimento e a guerra cibern\u00e9tica ofensiva s\u00e3o muitas vezes mais uma arte do que uma ci\u00eancia exata. Os explotis precisam ser ajustados para vers\u00f5es e hardware espec\u00edficos de sistemas operacionais e ainda tendem a ser facilmente frustrados por novas vers\u00f5es e atualiza\u00e7\u00f5es, novas t\u00e9cnicas de mitiga\u00e7\u00e3o ou at\u00e9 mesmo pequenas coisas, como eventos aleat\u00f3rios.<\/p>\n

Com isso em mente, infec\u00e7\u00e3o e direcionamento tamb\u00e9m \u00e9 uma quest\u00e3o de custo e tornando as coisas mais dif\u00edceis para os respons\u00e1veis pelo ataque. Embora nem sempre possamos prevenir a explora\u00e7\u00e3o e a infec\u00e7\u00e3o bem-sucedidas em dispositivos mobile, podemos tentar torn\u00e1-las o mais dif\u00edcil poss\u00edvel para os cibercriminsos.<\/p>\n

Como fazemos isso na pr\u00e1tica? Aqui est\u00e1 uma lista de verifica\u00e7\u00e3o simples.<\/p>\n

Como proteger contra spyware avan\u00e7ado no iOS<\/h3>\n

Ligar e desligar diariamente. <\/strong> De acordo com uma pesquisa da Anistia Internacional e do Citizen Lab, a cadeia de infec\u00e7\u00f5es do Pegasus geralmente depende de zero-click 0-days sem persist\u00eancia, por isso a reinicializa\u00e7\u00e3o regular ajuda a limpar o dispositivo. Se o dispositivo for reiniciado diariamente, os atacantes ter\u00e3o que valid\u00e1-lo repetidamente. Com o tempo, isso aumenta as chances de detec\u00e7\u00e3o; um acidente pode acontecer ou artefatos podem ser logados que evidenciam a natureza furtiva da infec\u00e7\u00e3o. Na verdade, isso n\u00e3o \u00e9 apenas teoria, \u00e9 pr\u00e1tica \u2014 analisamos um caso em que um dispositivo m\u00f3vel foi afetado por meio de exploit zero-click (provavelmente FORCEDENTRY). O propriet\u00e1rio do dispositivo reiniciou seu dispositivo regularmente e o fez nas pr\u00f3ximas 24 horas ap\u00f3s o ataque. Os criminosos tentaram invadi-lo mais algumas vezes, mas acabaram desistindo depois de serem eliminados pela reinicializa\u00e7\u00e3o do sistema.<\/p>\n

https:\/\/www.kaspersky.com.br\/blog\/what-is-noreboot-attack-and-how-to-protect-your-smartphone\/43292\/<\/p>\n

Desabilite o iMessage.<\/strong> iMessage \u00e9 incorporado ao iOS e \u00e9 habilitado por padr\u00e3o, tornando-o um vetor de ataque atraente. Por ser habilitado por padr\u00e3o, \u00e9 um mecanismo de entrega superior para cadeias de zero-click e por muitos anos, os exploits do iMessage estavam em alta, com os principais pagamentos de exploits. \u201cNos \u00faltimos meses, observamos um aumento no n\u00famero de exploits de iOS, principalmente redes de Safari e iMessage, sendo desenvolvidas e vendidas por todo o mundo. O mercado de zero-day est\u00e1 t\u00e3o inundado de exploits iOS que recentemente come\u00e7amos a recusar alguns <\/strong>\u201c,\u00a0escreveu chaouki Bekrar, fundador da Zerodium, em 2019 \u00e0 WIRED<\/a>. Percebemos que a vida sem iMessage pode ser muito dif\u00edcil para alguns (falaremos mais sobre isso depois), mas se o Pegasus e outros malwares mobile APT de alto n\u00edvel est\u00e3o em seu modelo de amea\u00e7a, esta \u00e9 uma troca que vale a pena ser feita.<\/p>\n

Desative Facetime. <\/strong> Mesmo conselho acima.<\/p>\n

Mantenha o dispositivo m\u00f3vel atualizado; instale as patches mais recentes do iOS assim que estiverem dispon\u00edveis <\/strong> Nem todo mundo pode pagar zero-click ou 0-day, na verdade muitos dos kits de exploits do iOS que estamos vendo est\u00e3o mirando vulnerabilidades j\u00e1 corrigidas. No entanto, muitas pessoas possuem aparelhos mais antigos e adiam atualiza\u00e7\u00f5es por v\u00e1rias raz\u00f5es. Se voc\u00ea quiser estar \u00e0 frente de (pelo menos alguns) hackers, atualize o mais r\u00e1pido poss\u00edvel e ensine a si mesmo a n\u00e3o precisar de Emojis para instalar as patches<\/a>.<\/p>\n

N\u00e3o clique em links recebidos em mensagens.<\/strong> Este \u00e9 um conselho simples, mas eficaz. Nem todos os clientes do Pegasus podem comprar complexas amea\u00e7as de cadeias de zero-click 0-day a um custo de milh\u00f5es, ent\u00e3o eles dependem de exploits de 1-click. Estes chegam na forma de uma mensagem, \u00e0s vezes por SMS, ou por outras aplica\u00e7\u00f5es de mensagens instant\u00e2neas ou at\u00e9 mesmo e-mail. Se voc\u00ea receber um SMS interessante (ou por qualquer outro app de mensagens) com um link, abra-o em um computador desktop, de prefer\u00eancia usando o TOR Browser, ou melhor ainda usando um sistema operacional n\u00e3o persistente seguro, como o Tails.<\/p>\n

[how-to-protect-from-pegasus-spyware-malicious-sms]<\/p>\n

\"SMS

SMS com um link malicioso usado para hackear um ativista pol\u00edtico: Citizen Lab<\/a>]<\/p><\/div>\n

Navegue na Internet com um navegador alternativo como o Firefox Focus em vez do Safari ou do Chrome. <\/strong> Apesar do faWebkit, aalguns exploits n\u00e3o funcionam bem (veja os casos LightRighter \/ TwoSailJunk APT<\/a>) em alguns navegadores alternativos:<\/p>\n

Verifica\u00e7\u00e3o do kit de exploit LightRiver para \u201cSafari\u201d na sequ\u00eancia de agente de usu\u00e1rio<\/p><\/div>\n

\u00a0<\/p>\n

Strings de agente de usu\u00e1rio no iOS dos navegadores Safari, Chrome e Firefox Focus:<\/p>\n

\u2022 Safari:<\/strong> Mozilla\/5.0 (iPhone; CPU iPhone OS 15_1 como Mobile\/15E148 Safari\/<\/strong>604.1<\/p>\n

\u2022 Chrome: Mozilla\/5.0 (iPhone; CPU iPhone OS 15_1 como Mac OS X) AppleWebKit\/605.1.15 (KHTML, como Gecko) CriOS\/96.0.4664.53 Mobile\/15E148 Safari<\/strong>\/604.1<\/p>\n

\u2022 Firefox Focus: Mozilla\/5.0 (iPhone; CPU iPhone OS 15_1 como Mac OS X) AppleWebKit\/605.1.15 (KHTML, como Gecko) FxiOS\/39 Mobile\/15E148 Vers\u00e3o\/15.0<\/p>\n

Sempre use uma VPN que mascare seu tr\u00e1fego.<\/strong> Alguns exploits<\/em> s\u00e3o fornecidos pelos de ataques MitM do operador GSM, ao navegar em sites HTTP ou por sequestro de DNS. O uso de uma VPN para mascarar o tr\u00e1fego dificulta que o operador GSM o direja diretamente pela Internet. Tamb\u00e9m complica o processo de segmenta\u00e7\u00e3o se os invasores tiverem controle sobre seu fluxo de dados, como durante o roaming<\/em>. Por favor, note que nem todas as VPNs s\u00e3o iguais e nem todas s\u00e3o confi\u00e1veis. Sem favorecer qualquer provedor espec\u00edfico de VPN, aqui est\u00e3o algumas coisas a considerar quando voc\u00ea compra uma assinatura de VPN com anonimato sendo uma prioridade m\u00e1xima:<\/p>\n

\u25cf Comprar significa exatamente isso \u2014 n\u00e3o use VPNs \u201cgratuitas\u201d. <\/strong><\/p>\n

\u25cf Procure por servi\u00e7os que aceitam o pagamento em criptomoedas. <\/strong><\/p>\n

\u25cf Procure por servi\u00e7os que n\u00e3o exija que voc\u00ea forne\u00e7a nenhuma informa\u00e7\u00e3o de registro. <\/strong><\/p>\n

\u25cf Tente evitar aplicativos VPN \u2014 em vez disso, use ferramentas de c\u00f3digo aberto, como perfis OpenVPN, WireGuard e VPN.<\/p>\n

\u25cf Evite novos servi\u00e7os de VPN e procure servi\u00e7os estabelecidos que j\u00e1 existem h\u00e1 algum tempo.<\/p>\n

Instale um aplicativo de seguran\u00e7a que verifica e avisa sobre jailbroken. <\/strong> Frustrados por serem chutados v\u00e1rias vezes, os atacantes eventualmente implantar\u00e3o um mecanismo de persist\u00eancia e jailbreak seu dispositivo no processo. \u00c9 aqui que a chance de invas\u00e3o aumenta dez vezes e podemos aproveitar o fato de que o dispositivo \u00e9 jailbroken.<\/p>\n

Fa\u00e7a backups no iTunes uma vez por m\u00eas. <\/strong> isso permite diagnosticar e encontrar infec\u00e7\u00f5es mais tarde, por meio do uso do maravilhoso pacote MVT da Anistia Internacional (mais sobre isso posteriormente).<\/p>\n

Ative sysdiags com frequ\u00eancia vezes e os guarde em backups externos. <\/strong> artefatos forenses podem ajud\u00e1-lo a determinar mais tarde se voc\u00ea foi alvo. Desencadear um sysdiag depende do modelo do telefone \u2014 por exemplo, em alguns iPhones, isso \u00e9 feito pressionando Volume Up + Volume Down + Power<\/em> ao mesmo tempo. Voc\u00ea pode precisar brincar com isso algumas vezes, at\u00e9 o telefone seguir o comando. Uma vez criado o sysdiag, ele aparecer\u00e1 em diagn\u00f3sticos:<\/p>\n

\"Diagn\u00f3sticos

Diagn\u00f3sticos com sysdiag em An\u00e1lises e melhorias do iOS<\/p><\/div>\n

\u00a0<\/p>\n

Como proteger contra spyware avan\u00e7ado no Android<\/h3>\n

Uma lista semelhante para usu\u00e1rios de Android (para detalhes e racioc\u00ednio, verifique a lista para iOS acima):<\/p>\n

\u2022 Ligue e desligue diariamente. <\/strong> A persist\u00eancia nas vers\u00f5es mais recentes do Android \u00e9 dif\u00edcil, muitos APTs e vendedores de exploits evitam qualquer persist\u00eancia!<\/p>\n

\u2022 Mantenha o telefone atualizado; instale as patches mais recentes. <\/strong><\/p>\n

\u2022 N\u00e3o clique em links recebidos em mensagens de texto. <\/strong><\/p>\n

\u2022 Utilize um navegador alternativo como o Firefox Focus<\/strong> em vez do Chrome padr\u00e3o.<\/p>\n

\u2022 Sempre use uma VPN que mascare seu tr\u00e1fego. <\/strong> Algumas explora\u00e7\u00f5es s\u00e3o fornecidas por meio dos ataques MITM do operador GSM, ao navegar em sites HTTP ou por sequestro de DNS.<\/p>\n

\u2022 Instale uma suite de seguran\u00e7a que verifica e alterta se o dispositivo foi hackeado. <\/strong><\/p>\n

Em um n\u00edvel mais sofisticado \u2014 tanto para iOS quanto para Android \u2014 verifique sempre o tr\u00e1fego da sua rede usando IoCs em tempo real. Uma boa configura\u00e7\u00e3o pode incluir uma VPN de Wireguard sempre em um servidor sob seu controle, que usa pihole<\/a> para filtrar coisas ruins e registra todo o tr\u00e1fego para uma inspe\u00e7\u00e3o posterior.<\/p>\n

Como ficar sem iMessage<\/h2>\n

Eu estava conversando com meu amigo Ryan Naraine recentemente, e ele disse \u2013 \u201ciMessage e FaceTime \u2013 eles s\u00e3o os motivos pelos quais as pessoas usam iPhones! \u201c<\/strong><\/em> e, com certeza, ele est\u00e1 certo. Eu sou usu\u00e1rio de iPhone desde 2008 e acho que o iMessage e o FaceTime foram duas das melhores inven\u00e7\u00f5es que a Apple adicionou a esse ecossistema. Pa\u00edses espionem nossos aparelhos, tentei escapar do iMessage Hotel California<\/a>. A coisa mais dif\u00edcil? Fazer com que a fam\u00edlia pare de us\u00e1-lo tamb\u00e9m. Por mais surpreendente que possa parecer, esta foi uma das coisas mais dif\u00edceis de toda essa saga de seguran\u00e7a.<\/p>\n

\"A

A vida sem iMessage \u00e9 verde e sem emojis<\/p><\/div>\n

\u00a0<\/p>\n

No come\u00e7o, tentei convencer todos a mudarem para o Telegram<\/a>. N\u00e3o consegui. Em seguida, o Signal ficou cada vez melhor, implementou chamadas de v\u00eddeo e chamadas em grupo. Com o tempo, mais e mais amigos come\u00e7aram a adotar o Signal<\/a>. E logo minha fam\u00edlia tamb\u00e9m passou a utilizar. N\u00e3o estou dizendo que voc\u00ea deve fazer o mesmo. Talvez voc\u00ea possa manter o iMessage ativado e viver feliz e livre de malware \u2014 verdade seja dita, \u00a0a Apple melhorou muito<\/a> a seguran\u00e7a \u00a0da sandbox associada ao iMessage com o BlastDoor<\/a> no iOS 14. No entanto, o exploit FORCEDENTRY usado pela NSO para entregar o BlastDoor ignorado<\/a> do Pegasus \u00a0e, claro, nenhum recurso de seguran\u00e7a \u00e9 sempre 100% \u00e0 prova de ataques.<\/p>\n

Ent\u00e3o, qual \u00e9 o melhor dos dois mundos, voc\u00ea pode perguntar? Algumas pessoas, incluindo eu, t\u00eam v\u00e1rios telefones \u2014 um em que o iMessage \u00e9 desativado, e um iPhone \u201choneypot\u201d onde o iMessage \u00e9 ativado. Ambos est\u00e3o associados com o mesmo Apple ID e n\u00famero de telefone. Se algu\u00e9m decidir me atacar assim, h\u00e1 uma boa chance de acabarem no telefone \u02dcisca\u02dc<\/p>\n

Como detectar a Pegasus e outros malwares mobile avan\u00e7ados<\/h2>\n

Detectar tra\u00e7os de infec\u00e7\u00e3o da Pegasus e outros malwares movile avan\u00e7ados \u00e9 muito complicado e complicado pelos recursos de seguran\u00e7a de sistemas operacionais modernos, como iOS e Android. Com base em nossas observa\u00e7\u00f5es, isso \u00e9 ainda mais complicado pela implanta\u00e7\u00e3o de malware n\u00e3o persistente, o que n\u00e3o deixa quase nenhum rastro ap\u00f3s a reinicializa\u00e7\u00e3o. Uma vez que muitas estruturas forenses requerem um jailbreak de dispositivos, o que por sua vez requer uma reinicializa\u00e7\u00e3o, isso resulta na retirada do malware da mem\u00f3ria durante a reinicializa\u00e7\u00e3o.<\/p>\n

Atualmente, v\u00e1rios m\u00e9todos podem ser usados para detec\u00e7\u00e3o da Pegasus e outros malwares mobile. O MVT (Mobile Verification Toolkit<\/a>) da Anistia Internacional \u00e9 gratuito, de c\u00f3digo aberto e permite que desenvolvedores e pesquisadores inspecionem telefones celulares em busca de sinais de infec\u00e7\u00e3o. O MVT \u00e9 ainda impulsionado por uma lista de IoCs (indicadores de compromisso) coletados de casos de alto perfil e disponibilizados pela Anistia Internacional.<\/p>\n