Kaspersky présente un outil qui détecte les logiciels espions Pegasus sur iOS

Publié le: 18 janvier 2024

Chercheurs à Kaspersky ont développé une nouvelle méthode pour détecter les infections provenant de logiciels espions iOS sophistiqués et ont publié un outil léger permettant aux utilisateurs iOS de protéger leurs appareils.

L'outil, iArrêt, est capable d'identifier les signes de logiciels espions sur iOS provenant d'au moins 3 familles de logiciels espions difficiles à détecter, notamment Pegasus, Predator d'Intellexa et Reign de QuaDream.

L’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky a découvert que ces infections laissent des traces dans un fichier système souvent négligé appelé Shutdown.log, situé dans l’archive sysdiagnose des appareils iOS qui enregistre les détails à chaque redémarrage de l’appareil iOS. Lorsqu'un appareil iOS infecté par le malware Pegasus est redémarré, les chercheurs expliquent que le fichier enregistre des anomalies révélatrices de la présence d'un logiciel espion.

Parmi ces anomalies, l’équipe a identifié des processus « collants » qui perturbent le processus normal de redémarrage, une caractéristique souvent liée à Pegasus. Ils ont également trouvé des traces d’infections en comparant leurs résultats avec les comportements connus des logiciels espions signalés par la communauté de la cybersécurité.

De plus, dans son analyse des fichiers Shutdown.log provenant d'appareils infectés par Pegasus, l'équipe a remarqué un modèle récurrent dans le chemin du fichier « /private/var/db/ », qui est similaire à ceux trouvés dans les infections par d'autres logiciels malveillants iOS, comme Règne et prédateur.

« L’analyse du vidage Sysdiag s’avère peu intrusive et peu gourmande en ressources, s’appuyant sur des artefacts basés sur le système pour identifier les infections potentielles de l’iPhone. Après avoir reçu l'indicateur d'infection dans ce journal et confirmé l'infection à l'aide du traitement par Mobile Verification Toolkit (MVT) d'autres artefacts iOS, ce journal fait désormais partie d'une approche holistique d'enquête sur les infections par des logiciels malveillants iOS », a déclaré chercheur principal en sécurité au sein du département mondial de recherche et de recherche de Kaspersky. Équipe d'analyse Maher Yamout.

Sur la base de ces observations, les chercheurs de Kaspersky suggèrent que le fichier Shutdown.log pourrait être une ressource clé pour identifier les appareils infectés par ces types de logiciels malveillants.

"Puisque nous avons confirmé la cohérence de ce comportement avec les autres infections Pegasus que nous avons analysées, nous pensons qu'il servira d'artefact médico-légal fiable pour soutenir l'analyse de l'infection", a ajouté Yamout.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/