Havaitse Predator-vakoiluohjelmat puhelimella
Tunnettu makedonialainen kyberturvallisuusyritys Cytrox sai mainetta vuonna 2021 kehittämällään ja levittämällä iPhone-puhelimiin kohdistuvaa Predator-vakoiluohjelmaa. Tämä hienostunut vakoiluohjelma onnistui tunkeutumaan iOS 14.6:een, tuolloin uusimpaan käyttöjärjestelmäversioon, käyttämällä suositun WhatsAppin kautta jaettuja yhden napsautuksen linkkejä. Predator pysyy toiminnassa uudelleenkäynnistyksen jälkeen iOS:n automaatiotoiminnon avulla.
Predator-vakoiluohjelman käyttivät oletettavasti valtiolliset tahot, mukaan lukien Armenian, Egyptin, Kreikan, Indonesian, Madagaskarin, Omanin, Saudi-Arabian ja Serbian valtiolliset tahot. Sen kohteet ulottuvat poliittisesta oppositiosta ja toimittajista vaikutusvaltaisten uutisohjelmien juontajiin, mikä viittaa laaja-alaiseen valvontaoperaatioon. On kuitenkin syytä huomata, että yritys toimii tällä hetkellä useilla eri nimillä eri puolilla Euroopan unionia.
Kun Predator-lataaja on aktivoitu, se aloittaa Python-skriptien lataamisen iPhonellesi laitteen hallinnan muodostamiseksi. Tämän jälkeen, kun Predator-kokoonpano on ladattu, iOS-lataaja tyhjentää laitteen kaatumislokit, poistaen tehokkaasti kaikki siihen liittyvät tiedostot. Tämän jälkeen se hakee kokoonpanotiedoston ja vakoiluohjelman seuraavat vaiheet nimetyltä palvelimelta.
iOS:ssä Predator-lataaja suorittaa toiminnon, joka lataa iOS-pikakuvakkeen automaation vakoiluohjelmapalvelimelta ja varmistaa sen pysyvyyden. Tämä automaatio on suunniteltu aktivoitumaan tiettyjen sovellusten käynnistyessä, ja se kattaa useita Applen sisäänrakennettuja sovelluksia.
Yhteensä yli 44 sovellusta valvotaan tarkasti, mukaan lukien App Store, Kamera, Mail, Kartat ja Safari, sekä suosittuja kolmannen osapuolen sovelluksia, kuten Twitter, Instagram, Facebook, LinkedIn, Skype, SnapChat, Viber, TikTok, Line, OpenVPN, WhatsApp, Signal ja Telegram.
Predator-pikakuvake toimii kokonaan taustalla ja pysyy käyttäjälle näkymättömänä. Tämä huomaamattomuus saavutetaan muokkaamalla asetusta, joka poistaa automaation laukaisemat ilmoitukset käytöstä. Cytrox ja sen Predator-vakoiluohjelma ovat suhteellisen tuntemattomia, toisin kuin Pegasus .
Predator-vakoiluohjelmien havaitseminen iOS:ssä
Jotta voidaan varmistaa, onko Predator-vakoiluohjelma asennettu iPhoneesi, on ensin luotava varmuuskopio laitteestasi. Tämän jälkeen on välttämätöntä käyttää työkalua, kuten MVT:tä, Cytrox-vakoiluohjelman läsnäolon selvittämiseksi iDevice-laitteellasi.
MVT hyödyntää erilaisia indikaattoreita, kuten haittaohjelmia, suhteita, paketoituja tiedostoja, verkkotunnuksia ja Apple ID:itä, jotka liittyvät laitteesi vaarantamiseen, sekä valvoo käynnissä olevia prosesseja havaitakseen tehokkaasti Predatorin asennuksen. MVT käyttää cytrox.stix2- indikaattoria Predatorin vakoiluohjelmien tunnistamiseen ja havaitsemiseen iPhonen varmuuskopiotiedostosta.
Huomautus: Salatut iOS-varmuuskopiot sisältävät mielenkiintoisia lisätietoja, joita ei ole saatavilla salaamattomissa vastineissa. Nämä sisältävät merkittäviä tietoja, kuten Safarin historian, Safarin tilan ja muita olennaisia tietoja, jotka parantavat rikosteknistä analyysiä.
Seuraa ohjeita Predator-vakoiluohjelman havaitsemiseksi iOS:ssä:
Vaihe 1. Asenna Mobile Verification Toolkit työpöydälle.
Vaihe 2. Liitä iPhone tietokoneeseen USB-kaapelilla.
Vaihe 3. Luo iPhone-varmuuskopio (salattu) iTunesin tai komentorivityökalujen avulla.
Vaihe 4. Avaa haluamasi päätesovellus.
Vaihe 5. Suorita seuraava komento purkaaksesi iOS-varmuuskopion salauksen .
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directoryVaihe 6. Anna iOS-varmuuskopiotiedoston salaussalasana.
Vaihe 7. Päivitä MVT-indikaattorit uusimpaan versioon.
mvt-ios download-iocsVaihe 8. Skannaa iOS-varmuuskopio MVT:llä selvittääksesi, onko Predator-vakoiluohjelma asennettu.
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directoryVaihe 9. Näytä Predator-vakoiluohjelmien tunnistuksen tila komentokehotteessa.
Vaihe 10. Voit tarkastella lisäanalyysejä selaatmalla $mvt_output_directory -tiedostoja.
