Mucho se ha hablado sobre la indetectabilidad del Malware Pegasus, tan de moda últimamente. Sin embargo, estudios realizados a lo largo de varios años (no en vano pegasus lleva funcionando  -al menos- desde el año 2015) han demostrado que una forense informática orientada en la línea correcta (sabiendo lo que hay que buscar), puede detectar si éste ha sido instalado en un móvil, y desde cuándo.

Este software desarrollado por el grupo israelí “NSO” está asociado y controlado –en teoría- por los responsables de defensa de ese país, pues está catalogado como un arma de ciberguerra.

Las últimas versiones de Pegasus pueden llegar a infectar un terminal, sin necesidad de que el usuario tenga que interactuar. Es lo que se denomina un ataque de “Zero-Click”. Esto sucede gracias a vulnerabilidades que en su día no fueron detectadas (0-day) en los sistemas operativos y que fueron explotadas por esta aplicación. Algunos ya detectados en iOs (que no significa “corregidos”, si no se han actualizado los parches del sistema operativo) se encontraban en las apps de iPhone “iMessage” (2021) y “FaceTime”, o el propio “Apple Music” detectado en 2020. Incluso Whatsapp alertó en 2019, de que NSO estaba utilizando Pegasus contra más de 1.400 personas, aprovechando una vulnerabilidad de esta aplicación. El modus operandi era sencillo: bastaba una simple llamada al futuro investigado, a través de esta aplicación, para inyectar el código.

Gracias a estas vulnerabilidades, los atacantes, mediante técnicas de “Spear-Phishing” han conseguido instalar su software espía, a través de simples llamadas de Whatsapp, como decimos, o de enlaces SMS provenientes de –teóricamente- de fuentes de confianza. De hecho, se dice que el terminal de nuestra ministra Robles, fue infectado con un enlace malicioso que simulaba ser propaganda de una gran cadena de supermercados.

Una vez instalada la app maliciosa (Android e iOs) ésta toma el control de las llamadas, almacenamiento, micrófono, cámara, etc., del terminal móvil.

Pegasus no factura por “licencias” o “número de clientes” sino por “teléfonos infectados”; o lo que es lo mismo: casos de éxito. Además, factura por los “front-end” o herramientas «C&C» de comando y control (Command & Control) que permiten monitorizar la actividad del terminal atacado.

Para complicar la detección del destino de los datos, Pegasus utiliza el protocolo propietario “Red de transmisión anonimizada de Pegasus”, que cambia continuamente de servidores de almacenamiento de red, para no ser detectada por listas de bloqueo. Actualmente se han catalogado ya más de 700 servidores de almacenamiento utilizados por esta herramienta. Lo curioso de esto es que muchos de esos servidores están alojados en Europa y Estados Unidos.

Uno de los grandes problemas que existen en la actualidad es el de “controlar a Pegasus”, pues se sospecha que pueda haber copias de su código en el mercado negro, de tal forma que agentes externos a NSO podrían estar usándolo sin conocimiento ni control del gobierno Israelí.

Hay varias formas de detección de Pegasus, como por ejemplo son la aparición de enlaces web de nomenclatura extraña, hacia los que se redirigen los datos robados.

También la aparición de procesos sospechosos que se ejecutan en segundo plano, como “BridgeHead” (bh) o “Roleaboutd”, “msgacntd”, etc., cuyo rastro queda almacenado en diferentes ficheros de bases de datos de registro de los sistemas operativos móviles. Hay multitud de procesos cuyos nombres varían, pero todos tienen algo en común: redirigir el tráfico hacia páginas web de nomenclatura sospechosa.

Pegasus ya es consciente de que es detectable, por lo que sus últimas versiones han comenzado a borrar algunas líneas de los registros de bases de datos de los sistemas operativos móviles; de ahí la importancia de aislar por completo a los terminales, desde el momento en que se sospecha que éstos puedan estar infectados, para así poder efectuar un estudio forense informático exitoso.

No obstante, y a pesar de que NSO intenta borrar el rastro de su actividad, aún es posible encontrar restos de los nombres de los dominios que utiliza Pegasus, asociados a las imágenes de tipo “favicon” que quedan registradas en los ficheros LOG de registro de iOs, amén de en otros ficheros de actividad del sistema operativo.

Para quien quiera adentrarse más en este tema, puede acceder a estos enlaces que encontré en la web de “Amnistía Internacional”. Muy interesantes, sin duda.

Informe Forense sobre Metodología de detección de Pegasus

Detección de Pegasus, en función del Objetivo

Como siempre ocurre en informática, todo es infinitamente diferente, dependiendo de si es cero, o es uno.

José Aurelio García

Auditor y Perito Informático-Perito en Piratería Industrial e Intelectual-Informático Forense

Co-Director del Título Propio «Derecho Tecnológico e Informática Forense», impartido por la UnEx dtif.unex.es

Profesor en el «Máster de Abogacía Digital», impartido por la USAL

Profesor en el «Máster En Ciberseguridad», impartido por la USAL

Socio Fundador Asociación Nacional de Ciberseguridad y Pericia Tecnológica – ANCITE

Informático Forense – El Blog de Auditores y Peritos Informáticos

[email protected]