Detectar el software espía Predator en el teléfono
Cytrox, una destacada empresa macedonia de ciberseguridad, adquirió notoriedad en 2021 por su desarrollo y difusión del programa espía Predator dirigido a iPhones. Este sofisticado programa espía se infiltró con éxito en iOS 14.6, la última versión del sistema operativo en aquel momento, mediante la utilización de enlaces de un solo clic distribuidos a través de la popular plataforma de mensajería WhatsApp. Predator persiste después de reiniciar utilizando la función de automatización de iOS.
El programa espía Predator fue desplegado presumiblemente por entidades gubernamentales, entre ellas las de Armenia, Egipto, Grecia, Indonesia, Madagascar, Omán, Arabia Saudí y Serbia. Sus objetivos abarcan un espectro que va desde la oposición política y los periodistas hasta los presentadores de influyentes programas de noticias, lo que indica una operación de vigilancia de amplio alcance. Sin embargo, cabe señalar que la empresa opera actualmente con distintos nombres en toda la Unión Europea.
Una vez activado el cargador Predator, inicia la descarga de scripts Python en tu iPhone para establecer el control sobre el dispositivo. Posteriormente, al cargar la configuración de Predator, el cargador de iOS procede a purgar los registros de fallos del dispositivo, eliminando de hecho todos los archivos relacionados. A continuación, recupera un archivo de configuración y las fases posteriores del programa espía del servidor designado.
En iOS, el cargador Predator ejecuta una función responsable de descargar una automatización de accesos directos de iOS desde el servidor del programa espía, asegurando su persistencia. Esta automatización está diseñada para activarse cuando se inician apps específicas, abarcando una serie de aplicaciones integradas de Apple.
En total, se supervisan meticulosamente más de 44 aplicaciones, incluidas App Store, Cámara, Mail, Mapas y Safari, junto con aplicaciones populares de terceros como Twitter, Instagram, Facebook, LinkedIn, Skype, SnapChat, Viber, TikTok, Line, OpenVPN, WhatsApp, Signal y Telegram.
El acceso directo Predator funciona completamente en segundo plano, permaneciendo invisible para el usuario. Este sigilo se consigue porque Predator modifica un ajuste para desactivar las notificaciones activadas por automatización. Cytrox y su programa espía Predator, son relativamente desconocidos, a diferencia de Pegasus.
Cómo detectar el programa espía Predator en iOS
Para averiguar si el programa espía Predator se ha instalado en tu iPhone, primero es necesario crear una copia de seguridad de tu dispositivo. Posteriormente, emplear una herramienta como la MVT se convierte en imprescindible para determinar la presencia del software espía Cytrox en tu iDevice.
MVT utiliza varios indicadores, como malware, relaciones, archivos empaquetados, nombres de dominio e ID de Apple asociados con el compromiso de tu dispositivo, así como la supervisión de los procesos en ejecución para detectar eficazmente la instalación de Predator. MVT utiliza el indicador cytrox.stix2 para identificar y detectar el software espía Predator desde el archivo de copia de seguridad de tu iPhone.
Nota: Las copias de seguridad cifradas de iOS contienen registros intrigantes adicionales que no están disponibles en sus homólogas no cifradas. Abarcan datos significativos como el historial de Safari, el estado de Safari y otra información pertinente, lo que mejora el análisis forense.
Sigue los pasos para detectar el spyware Predator en iOS:
Paso 1. Instala Mobile Verification Toolkit en el escritorio.
Paso 2. Conecta tu iPhone al ordenador mediante un cable USB.
Paso 3. Crea una copia de seguridad del iPhone (cifrada) utilizando iTunes o herramientas de línea de comandos.
Paso 4. Abre tu aplicación de terminal preferida.
Paso 5. Ejecuta el siguiente comando para desencriptar la copia de seguridad de iOS.
mvt-ios decrypt-backup -d $directorio_de_copia_de_respaldo_descifrada $directorio_de_copia_de_respaldoPaso 6. Introduce la contraseña para cifrar el archivo de copia de seguridad de iOS.
Paso 7. Actualiza los indicadores MVT a la última versión.
mvt-ios descargar-iocsPaso 8. Escanea la copia de seguridad de iOS con MVT para determinar si se ha instalado el programa espía Predator.
mvt-ios comprobar-respaldo -o $directorio_salida_mvt $directorio_respaldo_descifradoPaso 9. Comprueba en la línea de comandos el estado de detección del spyware Predator.
Paso 10. Para un análisis más detallado, puedes navegar por los archivos $mvt_output_directory.
