ดาวน์โหลดบทความ
ดาวน์โหลดบทความ
Pegasus Spyware เป็นมัลแวร์แบบสปายแวร์ที่จะเข้ามาขโมยข้อมูลส่วนตัวจากมือถือของคุณ ผู้เชี่ยวชาญประมาณการว่าตั้งแต่ปี 2564 มา มีอุปกรณ์โดนสปายแวร์ Pegasus เล่นงานไปแล้วประมาณ 50,000 เครื่อง [1] X แหล่งข้อมูลอ้างอิง ที่น่ากลัวมากๆ คือโปรแกรม antivirus ทั่วไปดักจับ Pegasus ไม่ได้ ถ้ากลัวว่า Pegasus จะแฝงตัวอยู่ในอุปกรณ์ Android, iPhone หรือ iPad ของคุณ ลองใช้ MVT ที่เป็น tool ฟรี ของ Amnesty International's Security Lab สแกนมือถือหรือแท็บเล็ตดู บทความวิกิฮาวนี้จะแนะนำวิธีการใช้ tool สแกนหา Pegasus spyware ในเครื่องให้คุณเอง
สิ่งที่ควรรู้
- MVT เป็นโปรแกรม command-line สำหรับ Linux แต่ใช้ใน macOS ได้ด้วย
- ถ้าจะสแกน iPhone หรือ iPad ให้ใช้โปรแกรมแบบมีเมนู สำหรับ PC และ Mac ชื่อ iMazing ใช้ได้ผลไม่ต่างจาก MVT เลย
- จะใช้ MVT ได้ต้องเคยใช้ command line ของ Linux มาพอสมควร ถ้ารู้สึกว่าขั้นตอนซับซ้อนเกินไป แนะนำให้ปรึกษาช่างหรือผู้เชี่ยวชาญดีกว่า
ขั้นตอน
-
เข้าเว็บ https://imazing.com/guides/detect-pegasus-and-other-spyware-on-iphone ใน Mac หรือ PC. ผู้พัฒนา iMazing ทำให้คุณสแกนหา Pegasus spyware ใน iPhone ได้อย่างง่ายดาย
- tool ของ iMazing จะจำลอง Mobile Verification Kit from Amnesty International ตัวจริงมาให้ใช้กัน โดย tool ของ Amnesty ต้องให้ปรับแต่ง MacOS หรือ Linux เพิ่มเติมก่อน แต่ใน iPhone คือใช้ iMazing แบบง่ายได้เลย
-
ดาวน์โหลด iMazing. คลิกปุ่ม Free Download เพื่อดาวน์โหลด iMazing ลงคอม แอปฟรีนี้ใช้จัดการ iPhone จาก Mac หรือ PC ที่สำคัญที่สุดคือมี spyware detection tool สำหรับสแกนหา Pegasus
- iMazing มีเวอร์ชั่นเสียเงินให้ใช้กัน แต่แบบฟรีก็มี spyware detection tool แบบไม่จำกัดเวลาและการใช้งาน
-
เชื่อมต่อ iPhone หรือ iPad กับคอม. ด้วย สาย USB ที่มากับมือถือหรือแท็บเล็ต ไม่ก็สายอื่นที่ทดแทน
- ถ้าเคย backup ข้อมูลในเครื่องไว้ใน iMazing ก็สแกน backup แบบไม่เสียบเครื่องได้เลย
-
เปิด iMazing. แอปจะสแกนหาสิ่งผิดปกติในมือถือทันที จะมีให้ใส่ passcode ของมือถือเพื่อ pairing หรือเชื่อมต่อให้เสร็จสิ้น
- เช็คว่าไม่ได้ล็อคหน้าจอตอน pairing กับ iMazing
- เช็คว่าต่อเน็ตแล้วทั้งสองอุปกรณ์
-
คลิก Detect Spyware ในกรอบ Actions. ทางขวาของโปรแกรม iMazing จะเป็นรายชื่อคำสั่งทั้งหมดที่ใช้ได้ ให้เลื่อนลงไปจนเจอ Detect Spyware แล้วคลิก จะมีไอคอน "toxic" บอกไว้
- ถ้า sync อุปกรณ์ของ Apple ไว้กับ iMazing หลายอุปกรณ์ ต้องเลือกในแถบซ้ายให้ถูกอัน
-
เลือก preferences ตามขั้นตอนที่ปรากฏ. iMazing จะมีข้อมูลบอก ให้คลิก Next เพื่อไปยัง configuration จะมีให้ยอมรับ default settings แล้วคลิก Next อีกรอบ
- หน้า configuration จะมีให้เลือกว่าจะ export รายงานเป็นไฟล์ .csv หรือ .xlsx ไฟล์ default .csv ก็ได้ เพราะแปลงเป็น .xlsx ทีหลังได้
- จะมีให้สร้าง backup จากในเครื่องด้วย จะข้ามไปก็ได้ หรือจะสร้าง backup ข้อมูลก็แล้วแต่เลย
-
คลิก Start Analysis เพื่อเริ่มสแกน. ถ้าเลือกสร้าง backup ตัว iMazing จะทำขั้นตอนนั้นก่อน อาจจะนานก็แล้วแต่ข้อมูลในเครื่อง
-
อ่านผลการสแกน. พอสแกนเสร็จ pop-up จะรายงานว่าสแกนเจออะไรบ้าง ถ้าสแกนแล้วไม่เจอ จะขึ้นว่า No signs of infection detected ถ้า iMazing สแกนเจอ spyware จะขึ้นว่า Possible infection detected [2] X แหล่งข้อมูลอ้างอิง
- ถ้าสแกนแล้วปลอดภัย ก็ไม่ต้องเปิดรายงาน แต่บางทีสแกนเจอสิ่งผิดปกติแบบผิดๆ ได้ ก็ไม่ต้องใส่ใจ
-
เปิดอ่านรายงาน. รายงานของ iMazing จะลงรายละเอียดอะไรที่อันตรายแล้วสแกนเจอ ก็ต้องสังเกตคอลัมน์ Malware แล้วมองหาคำว่า Pegasus
- ถ้าสแกนไม่เจออะไรที่เป็น Pegasus ก็หายห่วงเรื่อง Pegasus spyware ได้เลย แต่ก็ยังต้องกำจัดมัลแวร์อื่นๆ ที่สแกนเจอ
-
ส่งรายงานไปให้ iMazing เช็ค false positives. เข้าเว็บไปแชร์รายงานการสแกน ทางผู้พัฒนาให้คำมั่นว่าจะตอบกลับให้เร็วที่สุด
- ถ้า iMazing ยืนยันว่ามีจริง จะติดต่อมาช่วยเรื่องกำจัดออกจากเครื่อง แต่ก็อย่างที่รู้ว่าทางเขาเน้นสแกนเจอ
- ระหว่างรอ iMazing ตอบกลับ อาจจะยังใช้เครื่องต่อได้ แต่ระวังอย่าติดต่อใคร เขาจะได้ไม่ติดมัลแวร์ไปด้วย
โฆษณา
-
เข้าเว็บ https://github.com/mvt-project/mvt ใน Linux หรือ macOS. ถ้าอยากรู้ว่าในอุปกรณ์ Android มี Pegasus ไหม ต้องใช้ detection tool ของ Amnesty International แท้ๆ เป็น tool ที่ออกแบบมาสำหรับผู้เชี่ยวชาญด้านนิติเวชโดยเฉพาะ มีให้ใช้แค่ใน Linux และ macOS แต่เป็นโปรแกรมแบบไม่มีเมนู ต้องป้อนคำสั่งแบบ command line
- จะไม่มีแจ้งเตือนชัดเจนแบบ "You have Pegasus!" แต่ใช้ tool นี้รวบรวมหลักฐานไว้แชร์ให้ผู้เชี่ยวชาญช่วยดูได้
- MVT ของ Amnesty จะช่วยได้เฉพาะอุปกรณ์ Android เพราะ Android ไม่รวม diagnostic information ไว้เยอะเท่า iPhone [3] X แหล่งข้อมูลอ้างอิง
-
ถ้าใช้ Mac ให้ติดตั้ง Xcode กับ Homebrew. ถ้าติดตั้งไว้แล้ว ก็ไม่ต้องทำขั้นตอนนี้
- ขั้นแรกให้เปิด App Store ของ Mac ค้นหา Xcode แล้วติดตั้ง
- จากนั้นเปิดหน้าต่าง Terminal
- พิมพ์คำสั่ง /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)" แล้วกด Return [4] X แหล่งข้อมูลอ้างอิง
- พิมพ์ export PATH="/usr/local/opt/python/libexec/bin:$PATH" แล้วกด Return
-
ดาวน์โหลด Python. ต้องใช้ Python 3.6 หรือใหม่กว่าในคอม ถึงจะ run MVT ได้
- Linux: เช็คเวอร์ชั่น Python โดย run python ใน prompt ถ้าเป็นเวอร์ชั่นเก่าให้ใช้ sudo apt-get install python (Ubuntu) หรือ sudo yum install python (Redhat/Fedora) เพื่ออัปเดต
- Mac: เวอร์ชั่นของ Python ที่มากับ macOS จะเก่าแล้ว ให้ run คำสั่ง brew install python เพื่อดาวน์โหลดเวอร์ชั่นล่าสุด
-
ติดตั้ง dependencies. ต้องติดตั้ง basic dependencies สำหรับ run MVT
- Linux: ใช้คำสั่ง sudo apt install python3 python3-pip libusb-1.0-0 sqlite3
- macOS: ใช้คำสั่ง brew install python3 libusb sqlite3
-
ติดตั้ง Android SDK Platform Tools ของ Linux. จะมี tools ที่ต้องใช้ interact กับ Android รวมถึง adb (Android Debug Bridge) ดาวน์โหลดได้ที่ https://developer.android.com/studio/releases/platform-tools ใน Linux หรือ run คำสั่ง brew install --cask android-platform-tools เพื่อติดตั้งใน Mac [5] X แหล่งข้อมูลอ้างอิง
-
ติดตั้ง MVT. ขั้นตอนคือ
- run คำสั่ง export PATH=$PATH:~/.local/bin เช็คว่า path นั้นสำหรับติดตั้ง Pypi binaries
- run คำสั่ง pip3 install mvt เพื่อติดตั้งด้วย package manager ของ Python
- ถ้าจะ compile จาก source code ให้
- เริ่มจาก run git clone https://github.com/mvt-project/mvt.git เพื่อดาวน์โหลด source code
- แล้ว run cd mvt เพื่อเข้า directory
- สุดท้าย run pip3 install เพื่อ compile แล้วติดตั้ง
-
เปิดใช้ debugging ใน Android. ถ้ายังไม่ได้ทำ ให้เข้า Settings ของ Android แตะ About phone แล้วแตะ "Build Number" 7 ครั้ง [6] X แหล่งข้อมูลอ้างอิง แตะปุ่ม back แล้วจะเห็นเมนู "Developer Options" พอเปิดใช้แล้ว จะเปิด USB debugging ได้
- ใน Settings ให้ไปที่ System > Advanced > Developer Options
- เปิดสวิตช์ "USB debugging" ถ้าปิดอยู่
-
เชื่อมต่อ Android กับ PC ด้วยสาย USB. เช็คว่าไม่ได้ล็อคหน้าจอและต่อเน็ตแล้ว ตอนขึ้นใน Android ให้เลือก Trust
- MVT จะวิเคราะห์ได้เฉพาะ SMS ที่มีลิงก์ แต่ยังไงก็เป็นข้อความส่วนที่เสี่ยงสูงอยู่แล้ว [7] X แหล่งข้อมูลอ้างอิง
- MVT อาจจะขออนุญาตเพิ่มถึงจะสแกนบางส่วนของเครื่องได้ แต่อาจถึงขั้นตอน jailbreak เครื่อง ทำให้ยิ่งเปิดช่องให้มัลแวร์ ก็ปฏิเสธไป ยอมรับเฉพาะการสแกน
-
run คำสั่ง mvt-android download-iocs . ติดตั้ง MVT แล้ว Python จะแปลคำสั่งได้ เป็นคำสั่งดาวน์โหลดไฟล์ลงท้ายด้วยไฟล์สกุล .stix2 แล้วเซฟลง app directory
- run คำสั่ง ls -a เพื่อค้นหาไฟล์ถ้าไม่แน่ใจว่าอยู่ไหน ต้องระบุ path ไปยังไฟล์ .stix2 เพื่อเช็ค Pegasus
-
run คำสั่ง mvt-android check-adb --iocs /path/to/stix.file --output /path/to/results . เป็นคำสั่งใช้ตัวเลือกทั้งหมดของ MVT เช็ค Android ผ่าน USB ด้วย debug bridge ขั้นตอนนี้จะใช้เวลาหน่อย
- พอเทียบข้อมูลกับไฟล์ .stix ผลที่ได้จะบันทึกลงโฟลเดอร์ผลลัพธ์ ถ้าตรงกันจะขึ้นเตือนว่า "WARNING" แต่คำเตือนอาจจะหมายถึงสปายแวร์อื่นนอกจาก Pegasus ก็ได้
- ถ้าไม่อยากสแกน Android ทั้งเครื่อง ให้ใช้คำสั่ง mvt-android เดี่ยวๆ เพื่อเช็คว่ามีตัวเลือกไหนบ้าง แต่ถ้ากังวล ก็แค่ run ผ่านทุกขั้นตอนด้วย mvt-android
โฆษณา
ข้อมูลอ้างอิง
- ↑ https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
- ↑ https://imazing.com/guides/detect-pegasus-and-other-spyware-on-iphone
- ↑ https://docs.mvt.re/en/latest/android/methodology/
- ↑ https://brew.sh/
- ↑ https://docs.mvt.re/en/latest/install/
- ↑ https://developer.android.com/studio/debug/dev-options
- ↑ https://github.com/mvt-project/mvt/blob/main/docs/android/backup.md
เกี่ยวกับวิกิฮาวนี้
มีการเข้าถึงหน้านี้ 631 ครั้ง
โฆษณา
