چگونه بفهمیم مورد هدف نرم‌افزار جاسوسی پگاسوس قرار گرفته‌ایم؟

گروهی که به افشای اخبار مربوط به حمله به ژورنالیست‌ها در جریان حمله پگاسوس کمک کرده بودند، هم‌اکنون ابزاری به بازار معرفی کرده‌اند که می‌توانید به وسیله آن آلوده شدن تلفن همراه‌تان را تشخیص دهید. ابزار معرفی شده یک سری دستورالعمل معرفی می‌کند که از طریق آن و به وسیله فرآیندی فنی، تا حدی به شما کمک می‌کند.

استفاده از این ابزار شامل  این امکان را به شما می‌دهد که از تلفن خود یک نسخه پشتیبان تهیه کرده و آن را بر روی سیستم خود به صورت جداگانه چک کنید.

اولین چیزی که باید به آن توجه داشته باشید این است که این ابزار بر اساس ترمینال و خط فرمان کار می‌کند. بنابراین بایستی از قبل مهارت کار با این دو ابزار را داشته باشید. ما نیز در این مطلب سعی می‌کنیم مطالبی که بایستی بدانید را تا حد زیادی پوشش دهیم.

نکته بعدی که بایستی در نظر داشته باشید این است که این ابزار به نظر بر روی دیوایس‌های با سیستم عامل iOS بهتر کار می‌کند. در اسناد منتشر شده از طرف گروهی که به منتشر شدن این نرم‌افزار کمک کرده‌اند، اعلام شده است که امکان تشخیص بر روی تلفن‌های اندرویدی تا حدی کم‌تر است، اما باز هم امکان تشخیص ویروس از طریق پیام‌های دریافت شده تلفن و فایل‌های APK‌ اندروید وجود دارد.

برای چک کردن آیفون، راحت‌ترین راه این است که یک بک‌آپ رمزنگاری شده از تلفن خود تهیه کنید. می‌توانید این اقدام را با استفاده از آیتونز یا Finder بر روی مک و یا پی‌سی خود انجام دهید. بعد از اینکه بک‌آپ خود را کامل کردید بایستی برنامه mvt را نصب کنید.

اگر از مک استفاده می‌کنید، بایستی اول از همه Xcode را نصب کرده و قبل از نصب و اجرای mvt، بایستی Python3 را نیز نصب کنید. راحت‌ترین راه برای نصب پایتون۳ استفاده از اپلیکیشنی است که Homebrew نام دارد که از طریق ترمینال نیز می‌توانید آن را نصب کنید. بعد از نصب این‌ها بایستی دستورات iOS را دنبال کنید. (Amnesty’s iOS instructions)

اگر هنگام decrypt کردن بک‌آپ خود به مشکل برخورده‌اید احتمالا تنها نیستید! این ابزار زمانی که ما سعی کردیم آن را به پوشه بک‌آپ خود پوینت کنیم نیز به ما اخطار داد. برای حل کردن این مشکل، فولدر بک‌آپ را کپی کرده و بر روی دسکتاپ انتقال دهید و سپس آن را به mvt پوینت کنید. دستوری به شکل زیر:

mvt-ios decrypt-backup -p PASSWORD -d decrypt ~/Desktop/bkp/orig

در هنگام اسکن واقعی، شما بایستی به شاخصه‌ای در فایلی به نام Pegasus.stix2 اشاره کنید. اگر در زمینه کار با ترمینال تازه‌کار هستید، ممکن است تا حدی برای پوینت کردن فایل به مشکل بخورید. به همین منظور اگر از مکبوک استفاده می‌کنید، می‌توانید فایل stix2 را دانلود کرده و از طریق پوشه دانلود در مکبوک به آن دسترسی پیدا کنید.

سپس، زمانی که به مرحله بعدی و زمانی که می‌خواهید دستور check-backup را اجرا کنید می‌رسید، دستور زیر را اضافه کنید:

-i ~/Downloads/pegasus.stix2

در قسمت آپشن‌ها دستور ما به شکل زیر انجام شد. (لطفا توجه داشته باشید که دستورهای به کار رفته در این آموزش،‌ صرفا برای آموزش است و در نتیجه کپی کردن آن‌ها به شما ارور خواهد داد.)

mvt-ios check-backup -o logs --iocs ~/Downloads/pegasus.stix2 ~/Desktop/bkp/decrypt

به عنوان یکی از نکات نهایی، به یاد داشته باشید که این گروه صرفا دستورات مربوط به نصب این ابزار بر روی مک و لینوکس را فراهم کرده است و اگر به دنبال این هستید که آن را بر روی ویندوز نیز اجرا کنید،‌ می‌توانید از (wsl) استفاده کرده و سپس از دستورالعمل‌های لینوکس استفاده کنید. برای استفاده از wsl بایستی یک توزیع از لینوکس را نصب و راه‌اندازی کنید.

بعد از اجرا کردن mvt، لیستی از هشدارها را خواهید دید که فایل و یا عملکردهای مشکوک را لیست می‌کنند. شایان ذکر است که هشدار لزوما به این معنی نیست که شما آلوده شده‌اید.

در کل داستان این ابزار جاسوسی (پگاسوس) احتمالا بسیاری از شما را در ارتباط به کار کردن با تلفن‌های همراه‌تان کمی محتاط‌تر از قبل کرده است.

امیدواریم این آموزش و اجرا کردن ابزاری که در رابطه با آن صحبت شد، کمی از ترس شما نسبت به پگاسوس بکاهد.