Cómo instalar Mobile Verification Toolkit (MVT)

Mobile Verification Toolkit (MVT) sirve como valiosa herramienta para agilizar el análisis forense consensuado de dispositivos iOS, permitiendo la identificación de indicadores de compromiso. Este innovador conjunto de herramientas, del Laboratorio de Seguridad de Amnistía Internacional, surgió en el marco del Proyecto Pegasus. En particular, MVT desempeñó un papel fundamental en el descubrimiento de la Operación Triangulación y sus exploits 0-day asociados para iOS.
Key Takeaways
- MVT es el mejor software para detectar si tu iPhone se ha visto comprometido por programas espía mercenarios como NSO Group Pegasus, Predator Spyware, Operación Triangulación, etc.
- Las copias de seguridad cifradas contienen registros adicionales como el historial de Safari, el estado de Safari y otra información pertinente, lo que mejora los conocimientos forenses
Visión general
Mobile Verification Toolkit (MVT) es un conjunto de utilidades para automatizar la recopilación de rastros forenses esenciales para identificar compromisos potenciales en dispositivos iOS. Este conjunto de herramientas resulta inestimable para evaluar si un iPhone ha sido objeto de pirateo o acceso no autorizado. Empleando MVT, los usuarios pueden analizar y averiguar eficazmente el estado de seguridad de sus dispositivos iOS, garantizando una rápida detección y respuesta a cualquier actividad no autorizada.
Esta herramienta fue diseñada para identificar los Pegasus utilizados por los gobiernos para tomar el control total de cada dispositivo iOS sin el conocimiento del usuario, utilizando exploits 0-day y 0-click. MVT facilita la utilización de indicadores públicos de compromiso (IOC) para realizar escaneos en dispositivos móviles, identificando posibles rastros de ataques o infecciones por campañas de spyware reconocidas.
Esta funcionalidad se extiende a la incorporación de IOC publicados por entidades destacadas, como Amnistía Internacional y otros grupos de investigación reputados. Los usuarios pueden aprovechar Mobile Verification Toolkit (MVT) para mejorar sus análisis forenses, manteniéndose alerta frente a las amenazas conocidas y reforzando la seguridad general de los dispositivos móviles.

Mobile Verification Toolkit (MVT) presenta una gama dinámica de capacidades que evolucionan continuamente para satisfacer las demandas del análisis forense. Éstas abarcan el descifrado de copias de seguridad cifradas de iOS, el procesamiento meticuloso y el análisis sintáctico de registros procedentes de una miríada de bases de datos de sistemas y aplicaciones iOS, registros y análisis de sistemas.
Además, MVT amplía su funcionalidad para extraer aplicaciones instaladas de dispositivos Android, recopilar información de diagnóstico de dispositivos Android a través del protocolo adb, y comparar los registros extraídos con una lista proporcionada de indicadores maliciosos en formato STIX2.
Novedades
- Convierte automáticamente las fechas-hora a UTC.
- Actualiza el módulo SMS para resaltar el nuevo texto de las notificaciones de Apple.
- Requiere la última versión de criptografía.
- [auto] Actualiza las versiones y versiones de iOS.
- Mejoras para el módulo SMS.
- Añade uri=True en mvt/ios/modules/base.py.
- Referencia circular en la serialización del módulo SMS.
- dumpsys_accessibility.py: Escribe accesibilidad correctamente
Además, MVT genera registros JSON que engloban los registros extraídos, al tiempo que crea registros JSON independientes que destacan específicamente todos los rastros maliciosos detectados. El kit de herramientas ofrece además la generación de una línea de tiempo cronológica unificada que encapsula todos los registros extraídos, junto con una línea de tiempo dedicada que destaca la presencia de rastros maliciosos detectados.
Nota: Para ejecutar MVT en macOS es necesario tener instalados Xcode y homebrew.
MVT admite copias de seguridad de iTunes y volcados del sistema desde un entorno con jailbreak. En las versiones más recientes de macOS, estas copias de seguridad se inician directamente desde Finder en lugar de iTunes. Aunque las copias de seguridad sólo ofrecen una representación parcial de los archivos almacenados en el dispositivo, a menudo resultan adecuadas para detectar ciertos artefactos sospechosos.

En particular, las copias de seguridad cifradas, que requieren una contraseña para su acceso, contienen registros intrigantes adicionales que no están disponibles en sus homólogas no cifradas. Éstos abarcan datos significativos como el historial de Safari, el estado de Safari y otra información pertinente, lo que aumenta los conocimientos forenses que pueden extraerse del análisis.
La MVT permite extraer información del iDevice, proporcionando una visión global. Esto incluye la creación de una línea temporal que captura meticulosamente todos los procesos y aplicaciones que se ejecutan en el sistema. Además, MVT ofrece información sobre varios parámetros, como el número total de mensajes, identificadores del dispositivo como ID, ECID, GUID, ICCID, MEID e IMEI, así como una lista de las aplicaciones instaladas. Además, arroja luz sobre los componentes del sistema a los que acceden las apps, como el micrófono, ofreciendo un análisis exhaustivo de la actividad y configuración del dispositivo.
Detección de software espía compatible
- NSO Group Pegasus
- Spyware Predator
- Spyware RCS Lab
- Stalkerware
- Campaña de vigilancia
- Quadream KingSpawn
- Operación Triangulación
- WyrmSpy y DragonEgg
Cómo instalar MVT
Mobile Verification Toolkit (MVT) se puede descargar a través de PyPI. Este método simplificado es igualmente aplicable para los usuarios de Windows, Linux y macOS que deseen instalar la utilidad. MVT proporciona dos comandos mvt-ios y mvt-android para su ejecución desde la línea de comandos.
brew install python3 libusb sqlite3
pip uninstall urllib3
pip install urllib3
export PATH=$PATH:~/.local/bin
pip3 install mvt
Usage:
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directory
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directory