Pegasusアプリについて
このアプリでは携帯からSMSメッセージ・位置情報・ビデオ・音声・連絡先のデータを引き出します。
ゼロデイ(開発者が知らない脆弱性)を把握してそれをついて感染させるソフトを開発している世界中の企業は、それが合法かつ正当であり、それを行ってきました。
主な開発企業です。
・Vupen(フランス)
・NSO(イスラエル)
・Hacking Team(イタリア)
・Zerodium(Vupen)
・EquationGroup(アメリカ)
上記の企業はブラウザ、OSの脆弱性を見つけようとしています。アプリを作って販売するVupenはかなり前から存在していました。NSOはイスラエルのハッキングチームです。ゼロデイはまったく新しいエクスプロイトです。まだ見つかっていないため、パッチは適用されておらず、それを正しく検出する方法はありません。
Stage1
Webキットでの配信。最初のURLを介して送信されるので、その動作はWebサーバーを介して送信されるということです。ユーザーがリンクをクリックしていると考えられます。
今ではSMSメッセージとなる。この部分が Pegasusが広がった要因です。そのメッセージをダウンロードするとマルウェアが携帯電話にダウンロードされ、iPhoneのSafariブラウザのWebキットの脆弱性が悪用されました。
Stage2 ジェルブレイク
難読化及び暗号化されたパッケージとしてダウンロードされるデバイスに基づいてコードをステージングするため、あらゆる種類のセキュリティデバイスを通過するために、コードが難読化されます。つまり、コードが難読化及び暗号化されたパッケージとして変更されることとになります。各パッケージはダウンロードのたびに一意のキーで暗号化されるため、従来のネットワークベースの制御を行う効果がありません。IOSカーネルを悪用するために必要なコードが含まれいるため、これを実行するにはメモリ内でカーネルを見つける必要があります。このエクスプロイトを実行し、最終段階ではデバイスがジェルブレイクされた後に使用されるスパイソフトウェアのプロセスとその他のプロセスが含まれております。そのスパイソフトウェアが携帯電話にインストールされると、次のことが実行されます。
テキストメッセージを傍受できるプロセスを埋め込んでおります。コマンドアンドコントロールサーバーを通じてそれらを送り返します。そしてテキストメッセージを送信しています。そしてそれは必ずしも継続的なプロセスではありません。
コントローラーが定期的にメッセージを要求することができます。このソフトウェアのもう一つの有害な点はそれがリモートで削除できることです。彼らはユーザーがペガサスを検出したと信じています。ボタンを押すだけで基本的に電話からマシンからペガサスを削除できるため、人々がペガサスを検出したり、ペガサスのコピーを入手したりすることさえ非常に困難です。検出されたか検出されていることが示されているもの、または間違った種類のデバイス上にある場合は自動的に削除されます。
まとめ
Pegasusアプリは携帯電話のすべてのデータを取得できるソフトです。ゼロデイを利用して端末に感染させて、開発しているメーカーはイスラエルのNSOという会社です。
主にSMSでURLを送ってそれをクリックさせてダウンロードされました。
このソフトはコードが難読化されているため、セキュリティソフトから回避されます。携帯電話の情報をコントロールサーバーへ送信して情報を盗むことができます。またユーザーがPegasusアプリを検知したら遠隔で削除することが可能です。
