A Kaspersky olyan eszközt mutat be, amely észleli a Pegasus spyware-t iOS rendszeren

Kiadja: Január 18, 2024

Kutatók a Kaspersky új módszert fejlesztettek ki a kifinomult iOS kémprogramok által okozott fertőzések kimutatására, és kiadtak egy könnyű eszközt az iOS felhasználók számára eszközeik védelmére.

Az eszköz, iShutdown, képes azonosítani a spyware jeleit iOS rendszeren legalább 3 nehezen észlelhető spyware családból, köztük a Pegasusból, az Intellexa's Predatorból és a QuaDream's Reignből.

A Kaspersky Global Research and Analysis Team (GReAT) felfedezte, hogy ezek a fertőzések nyomokat hagynak a gyakran figyelmen kívül hagyott Shutdown.log nevű rendszerfájlban, amely az iOS-eszközök sysdiagnose archívumában található, és rögzíti a részleteket minden alkalommal, amikor az iOS-eszközt újraindítják. Amikor egy Pegasus kártevővel fertőzött iOS-eszközt újraindítanak, a kutatók elmagyarázzák, hogy a fájl olyan anomáliákat rögzít, amelyek spyware jelenlétére utalnak.

Ezen anomáliák között a csapat „ragadós” folyamatokat azonosított, amelyek megzavarják a normál újraindítási folyamatot, ami gyakran a Pegasushoz kapcsolódik. Fertőzések nyomait is megtalálták azáltal, hogy eredményeiket összehasonlították a kiberbiztonsági közösség által jelentett kémprogramok ismert viselkedésével.

Ezenkívül a Pegasus-szal fertőzött eszközökről származó Shutdown.log fájlok elemzése során a csapat visszatérő mintát vett észre a „/private/var/db/” fájl elérési útjában, amely hasonló a más iOS rosszindulatú programok által okozott fertőzéseknél észleltekhez, mint pl. Reign és Predator.

„A sysdiag dump elemzés minimálisan tolakodónak és erőforrás-igényesnek bizonyult, rendszeralapú műtermékekre támaszkodik a lehetséges iPhone-fertőzések azonosításához. Miután megkapta a fertőzésjelzőt ebben a naplóban, és megerősítette a fertőzést a Mobile Verification Toolkit (MVT) más iOS-műtermékek feldolgozásával, ez a napló mostantól az iOS rosszindulatú programokkal való fertőzésének holisztikus vizsgálatának részévé válik” – mondta el a Kaspersky globális kutatási és kutatási részlegének vezető biztonsági kutatója. Maher Yamout elemzőcsapat.

E megfigyelések alapján a Kaspersky kutatói azt sugallják, hogy a Shutdown.log fájl kulcsfontosságú forrás lehet az ilyen típusú kártevőkkel fertőzött eszközök azonosításában.

"Mivel megerősítettük ennek a viselkedésnek az összhangját az általunk elemzett többi Pegasus fertőzéssel, úgy gondoljuk, hogy megbízható törvényszéki műtermékként fog szolgálni a fertőzéselemzés támogatásához" - tette hozzá Yamout.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/