Rilevare il software spia Predator sul telefono
Cytrox, un'importante azienda di cybersicurezza macedone, ha acquisito notorietà nel 2021 per lo sviluppo e la diffusione dello spyware Predator, destinato agli iPhone. Questo sofisticato spyware si è infiltrato con successo in iOS 14.6, l'ultima versione del sistema operativo all'epoca, attraverso l'utilizzo di link con un solo clic distribuiti tramite la popolare piattaforma di messaggistica WhatsApp. Predator persiste dopo il riavvio grazie alla funzione di automazione di iOS.
Lo spyware Predator è stato presumibilmente distribuito da entità governative, tra cui quelle di Armenia, Egitto, Grecia, Indonesia, Madagascar, Oman, Arabia Saudita e Serbia. I suoi obiettivi spaziano dall'opposizione politica ai giornalisti e ai conduttori di influenti programmi di informazione, il che indica un'operazione di sorveglianza ad ampio raggio. Tuttavia, vale la pena notare che l'azienda opera attualmente con diversi nomi in tutta l'Unione Europea.
Una volta attivato, il caricatore Predator avvia il download di script Python sul tuo iPhone per stabilire il controllo del dispositivo. Successivamente, dopo aver caricato la configurazione di Predator, il caricatore iOS procede a cancellare i registri degli arresti anomali del dispositivo, eliminando di fatto tutti i file correlati. In seguito, recupera un file di configurazione e le fasi successive dello spyware dal server designato.
Su iOS, il caricatore di Predator esegue una funzione responsabile del download di un'automazione dei collegamenti iOS dal server dello spyware, garantendone la persistenza. Questa automazione è progettata per attivarsi quando vengono avviate applicazioni specifiche, comprendendo una serie di applicazioni integrate di Apple.
In totale, vengono monitorate meticolosamente più di 44 app, tra cui App Store, Fotocamera, Mail, Mappe e Safari, oltre a popolari app di terze parti come Twitter, Instagram, Facebook, LinkedIn, Skype, SnapChat, Viber, TikTok, Line, OpenVPN, WhatsApp, Signal e Telegram.
La scorciatoia di Predator opera completamente in background, rimanendo invisibile all'utente. Questa invisibilità è ottenuta grazie al fatto che Predator modifica un'impostazione per disabilitare le notifiche attivate dall'automazione. Cytrox e il suo spyware Predator sono relativamente sconosciuti, a differenza di Pegasus.
Come rilevare lo spyware Predator su iOS
Per verificare se lo spyware Predator è stato installato sul tuo iPhone, è necessario innanzitutto creare un backup del dispositivo. Successivamente, l'utilizzo di uno strumento come MVT diventa indispensabile per determinare la presenza dello spyware Cytrox sul tuo iDevice.
MVT utilizza diversi indicatori come malware, relazioni, file in bundle, nomi di dominio e ID Apple associati alla compromissione del tuo dispositivo, oltre a monitorare i processi in esecuzione per rilevare efficacemente l'installazione di Predator. MVT utilizza l'indicatore cytrox.stix2 per identificare e rilevare lo spyware Predator dal file di backup del tuo iPhone.
Nota: i backup crittografati di iOS contengono ulteriori record intriganti che non sono disponibili nelle loro controparti non crittografate. Questi includono dati significativi come la cronologia di Safari, lo stato di Safari e altre informazioni pertinenti, migliorando l'analisi forense.
Segui i passaggi per individuare lo spyware Predator su iOS:
Passo 1. Installa Mobile Verification Toolkit sul desktop.
Passo 2. Collega il tuo iPhone al computer tramite un cavo USB.
Passo 3. Crea un backup dell'iPhone (crittografato) utilizzando iTunes o gli strumenti della riga di comando.
Passo 4. Apri l'applicazione terminale che preferisci.
Passo 5. Esegui il seguente comando per decriptare il backup di iOS.
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directoryPasso 6. Inserisci la password per la crittografia del file di backup di iOS.
Passo 7. Aggiorna gli indicatori MVT all'ultima versione.
mvt-ios download-iocsPasso 8. Esegui la scansione del backup di iOS con MVT per determinare se è stato installato lo spyware Predator.
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directoryPasso 9. Visualizza il prompt della riga di comando per verificare lo stato di rilevamento dello spyware Predator.
Passo 10. Per ulteriori analisi, puoi navigare tra i file di $mvt_output_directory.
