Η Kaspersky παρουσιάζει το εργαλείο που ανιχνεύει το Pegasus Spyware στο iOS

Δημοσιεύθηκε στις: Ιανουάριος 18, 2024

Ερευνητές στο Kaspersky έχουν αναπτύξει μια νέα μέθοδο για τον εντοπισμό μολύνσεων από εξελιγμένο λογισμικό υποκλοπής iOS και κυκλοφόρησαν ένα ελαφρύ εργαλείο για τους χρήστες iOS για την προστασία των συσκευών τους.

Το εργαλείο, iShutdown, είναι σε θέση να εντοπίζει σημάδια spyware στο iOS από τουλάχιστον 3 δύσκολα ανιχνεύσιμες οικογένειες spyware, συμπεριλαμβανομένων των Pegasus, Intellexa's Predator και QuaDream's Reign.

Η Ομάδα Παγκόσμιας Έρευνας και Ανάλυσης της Kaspersky (GReAT) ανακάλυψε ότι αυτές οι μολύνσεις αφήνουν ίχνη σε ένα συχνά παραβλέπεται αρχείο συστήματος που ονομάζεται Shutdown.log, το οποίο βρίσκεται στο αρχείο sysdiagnose των συσκευών iOS που καταγράφει λεπτομέρειες κάθε φορά που επανεκκινείται η συσκευή iOS. Όταν μια συσκευή iOS που έχει μολυνθεί με κακόβουλο λογισμικό Pegasus επανεκκινείται, οι ερευνητές εξηγούν ότι το αρχείο καταγράφει ανωμαλίες που είναι ενδεικτικές για παρουσία λογισμικού κατασκοπείας.

Μεταξύ αυτών των ανωμαλιών, η ομάδα εντόπισε «κολλώδεις» διεργασίες που διαταράσσουν την κανονική διαδικασία επανεκκίνησης, ένα χαρακτηριστικό που συχνά συνδέεται με το Pegasus. Βρήκαν επίσης ίχνη μολύνσεων συγκρίνοντας τα ευρήματά τους με γνωστές συμπεριφορές spyware που αναφέρθηκαν από την κοινότητα της κυβερνοασφάλειας.

Επιπλέον, στην ανάλυση των αρχείων Shutdown.log από συσκευές που έχουν μολυνθεί με Pegasus, η ομάδα παρατήρησε ένα επαναλαμβανόμενο μοτίβο στη διαδρομή του αρχείου "/private/var/db/", το οποίο είναι παρόμοιο με αυτά που βρέθηκαν σε μολύνσεις από άλλα κακόβουλα προγράμματα iOS, όπως Reign and Predator.

«Η ανάλυση του sysdiag dump αποδεικνύεται ελάχιστα παρεμβατική και ελαφριά, βασιζόμενη σε τεχνουργήματα που βασίζονται στο σύστημα για τον εντοπισμό πιθανών μολύνσεων iPhone. Έχοντας λάβει την ένδειξη μόλυνσης σε αυτό το αρχείο καταγραφής και επιβεβαίωσε τη μόλυνση χρησιμοποιώντας το Mobile Verification Toolkit (MVT's) επεξεργασία άλλων τεχνουργημάτων iOS, αυτό το αρχείο καταγραφής γίνεται πλέον μέρος μιας ολιστικής προσέγγισης για τη διερεύνηση μόλυνσης από κακόβουλο λογισμικό iOS», δήλωσε ο επικεφαλής ερευνητής ασφάλειας στο Global Research and Kaspersky's Ομάδα ανάλυσης Maher Yamout.

Με βάση αυτές τις παρατηρήσεις, οι ερευνητές της Kaspersky προτείνουν ότι το αρχείο Shutdown.log θα μπορούσε να αποτελέσει βασικό πόρο για τον εντοπισμό συσκευών που έχουν μολυνθεί με αυτούς τους τύπους κακόβουλου λογισμικού.

«Εφόσον επιβεβαιώσαμε τη συνέπεια αυτής της συμπεριφοράς με τις άλλες μολύνσεις Pegasus που αναλύσαμε, πιστεύουμε ότι θα χρησιμεύσει ως αξιόπιστο ιατροδικαστικό τεχνούργημα για την υποστήριξη της ανάλυσης λοιμώξεων», πρόσθεσε ο Yamout.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/