Un nuevo escáner de teléfonos que detecta spyware ya ha identificado 7 infecciones por Pegasus.

En los últimos años, el uso de spyware comercial ha aumentado considerablemente, abarcando un espectro más amplio de víctimas. Sin embargo, la narrativa general todavía persiste en que este tipo de malware se utiliza en ataques dirigidos a un número muy reducido de personas. A la par de esto, verificar dispositivos por posibles infecciones ha sido un reto, llevando a muchas personas a recurrir a diversas instituciones académicas y ONG que están desarrollando técnicas forenses para detectar spyware móvil.

Recientemente, la empresa especializada en seguridad de dispositivos móviles, iVerify, dio a conocer los resultados de una nueva función de detección de spyware que lanzó en mayo. De los 2,500 escaneos de dispositivos que los clientes decidieron enviar para su revisión, siete mostraron infecciones del malware Pegasus, vinculado a NSO Group. La nueva característica de iVerify, llamada Mobile Threat Hunting, combina detección basada en firmas de malware, heurísticas y aprendizaje automático para identificar irregularidades en la actividad de dispositivos iOS y Android, así como señales de infección por spyware. Para suscriptores de pago, la herramienta realiza chequeos de forma regular. Además, iVerify ofrece una versión gratuita de la función a los usuarios que descargan la aplicación iVerify Basics, la cual tiene un costo de $1. A través de dicha aplicación, los usuarios pueden enviar un archivo de diagnóstico a iVerify y recibir un análisis en pocas horas, aunque el uso gratuito se limita a una vez al mes.

El sistema de iVerify está diseñado para preservar la privacidad, pero para utilizar la función Mobile Threat Hunting, los usuarios deben proporcionar una dirección de correo electrónico, lo que permite a la empresa contactarlos si se detecta spyware. “Lo realmente fascinante es que las personas que fueron blanco de ataques no solo eran periodistas y activistas, sino también líderes empresariales y figuras en el gobierno,” afirmó Rocky Cole, director de operaciones de iVerify y exanalista de la NSA. “Este perfil de blanco se asemeja más a los patrones usuales de malware que a la narrativa de que el spyware mercenario solo se utiliza para perseguir a activistas. Sin duda, eso también ocurre, pero este cruce de la sociedad fue sorprendente de descubrir.”

Aunque siete infecciones de 2,500 escaneos podrían parecer un número bajo, especialmente en un grupo de usuarios de iVerify que desean monitorear la seguridad de sus dispositivos móviles, la existencia de estas detecciones indica una proliferación más amplia del spyware en el mundo. Según un portavoz de NSO Group, la empresa vende sus productos exclusivamente a agencias de inteligencia y leyes de Estados Unidos e Israel, y sus clientes utilizan estas tecnologías a diario.

Cole señala que desarrollar la herramienta de detección requirió una inversión significativa, ya que sistemas operativos móviles como Android y iOS son más restrictivos que los sistemas operativos de escritorio tradicionales, lo que limita el acceso de software de monitoreo a niveles críticos del sistema. La clave fue usar datos de telemetría lo más cerca posible del núcleo del sistema para ajustar los modelos de aprendizaje automático. Algunos spyware, como Pegasus, tienen características distintivas que facilitan su detección.

El desarrollo de esta capacidad de detección ha sido de gran ayuda. Cole menciona que permitió a iVerify identificar signos de compromiso en el teléfono de Gurpatwant Singh Pannun, un abogado y activista político, quien fue objeto de un intento de asesinato presuntamente frustrado. Igualmente, la función Mobile Threat Hunting alertó sobre actividades sospechosas de actores estatales en los dispositivos móviles de dos oficiales de campaña durante las elecciones presidenciales.

“La era de suponer que los teléfonos iPhone y Android son seguros por defecto ha terminado,” declaró Cole. “Las herramientas para saber si tu teléfono tiene spyware no eran comunes y existían barreras técnicas que dejaban a muchas personas desprotegidas. Ahora, cualquier persona puede detectar si su dispositivo está infectado con spyware comercial, y la tasa de infecciones es mucho mayor de lo que se había creído anteriormente.”