Onderzoekers van Kaspersky hebben een nieuwe lichtgewicht methode onthuld om geavanceerde iOS-spyware zoals Pegasus en de nieuwe Pegasus-achtige bedreigingen Reign en Predator te detecteren en hebben een zelfcontroletool voor gebruikers gemaakt.
Kaspersky's Global Research and Analysis Team (GReAT) heeft een lichtgewicht methode ontwikkeld om infectie-indicatoren te detecteren van geavanceerde iOS spyware zoals Pegasus, Reign en Predator door het analyseren van Shutdown.log, een nog niet eerder onderzocht forensisch artefact.
De experts van het bedrijf ontdekten dat Pegasus infectiesporen achterlaten in het onverwachte systeemlogboek, Shutdown.log, dat wordt opgeslagen in het sysdiagnose-archief van elk mobiel iOS-apparaat. Dit archief bewaart informatie van elke herstartsessie, wat betekent dat afwijkingen die verband houden met de Pegasus-malware zichtbaar worden in het logboek als een geïnfecteerde gebruiker zijn apparaat opnieuw opstart.
Onder de geïdentificeerde processen waren gevallen van "sticky" processen die het opnieuw opstarten belemmerden, met name diegene welke waren gekoppeld aan Pegasus, samen met infectiesporen die waren ontdekt door waarnemingen van de cybersecuritygemeenschap.
"De analyse van de sysdiag-dump blijkt minimaal ingrijpend en licht in gebruik te zijn, waarbij wordt vertrouwd op systeem gebaseerde artefacten om mogelijke infecties op de iPhone te identificeren. Nadat we de infectie-indicator in dit logboek hebben ontvangen en de infectie hebben bevestigd met behulp van de Mobile Verification Toolkit (MVT) voor verwerking van andere iOS-artefacten, wordt dit logboek nu onderdeel van een allesomvattende aanpak om iOS-malware-infecties te onderzoeken. Aangezien we de consistentie van dit gedrag hebben bevestigd met de andere Pegasus-infecties die we hebben geanalyseerd, geloven we dat het zal dienen als een betrouwbaar forensisch artefact ter ondersteuning van infectie-analyse," zegt Maher Yamout, Lead Security Researcher bij Kaspersky's GReAT.
Bij het analyseren van het Shutdown.log in Pegasus-infecties zagen Kaspersky-experts een gemeenschappelijk infectiepad, met name "/private/var/db/", dat paden weerspiegelt die worden gezien in infecties die worden veroorzaakt door andere iOS-malware zoals Reign en Predator. De onderzoekers beweren dat dit logbestand potentieel heeft voor het identificeren van infecties die gerelateerd zijn aan deze malwarefamilies.
Om het zoeken naar spyware-infecties te vergemakkelijken, ontwikkelden Kaspersky-experts een hulpprogramma voor zelfcontrole voor gebruikers. De Python3 scripts vergemakkelijken de extractie, analyse en parsing van het Shutdown.log artefact. Het hulpprogramma wordt openbaar gedeeld op GitHub en is beschikbaar voor macOS, Windows en Linux.