Kaspersky, iOS에서 Pegasus 스파이웨어를 탐지하는 도구 출시

에 게시 : 2024 년 1 월 18 일

연구원 카스퍼 스키 정교한 iOS 스파이웨어의 감염을 탐지하는 새로운 방법을 개발하고 iOS 사용자가 장치를 보호할 수 있는 경량 도구를 출시했습니다.

도구, 아이셧다운는 Pegasus, Intellexa의 Predator 및 QuaDream의 Reign을 포함하여 감지하기 어려운 최소 3개의 스파이웨어 제품군에서 iOS의 스파이웨어 징후를 식별할 수 있습니다.

Kaspersky의 GReAT(Global Research and Analysis Team)는 이러한 감염이 iOS 장치를 다시 시작할 때마다 세부 정보를 기록하는 iOS 장치의 sysdiagnose 아카이브에 있는 Shutdown.log라는 종종 간과되는 시스템 파일에 흔적을 남긴다는 사실을 발견했습니다. 페가수스 악성 코드에 감염된 iOS 장치가 재부팅되면, 연구원들은 파일에 스파이웨어 존재를 나타내는 변칙 사항이 기록된다고 설명합니다.

이러한 이상 현상 중에서 팀은 일반적인 재부팅 프로세스를 방해하는 "고정" 프로세스를 식별했는데, 이는 종종 Pegasus와 관련된 특징입니다. 또한 사이버 보안 커뮤니티에서 보고된 스파이웨어의 알려진 동작과 비교하여 감염 흔적을 발견했습니다.

또한 팀은 Pegasus에 감염된 장치의 Shutdown.log 파일을 분석한 결과 "/private/var/db/" 파일 경로에서 반복적인 패턴을 발견했습니다. 이는 다음과 같은 다른 iOS 악성 코드에 의한 감염에서 발견된 패턴과 유사합니다. 레인과 프레데터.

“sysdiag 덤프 분석은 잠재적인 iPhone 감염을 식별하기 위해 시스템 기반 아티팩트에 의존하여 방해가 최소화되고 리소스가 적은 것으로 입증되었습니다. 이 로그에서 감염 표시를 수신하고 다른 iOS 아티팩트의 MVT(Mobile Verification Toolkit) 처리를 사용하여 감염을 확인한 후, 이 로그는 이제 iOS 맬웨어 감염을 조사하기 위한 전체적인 접근 방식의 일부가 됩니다.”라고 Kaspersky 글로벌 연구 및 수석 보안 연구원은 말했습니다. 분석팀 Maher Yamout.

이러한 관찰을 바탕으로 Kaspersky 연구원들은 Shutdown.log 파일이 이러한 유형의 악성 코드에 감염된 장치를 식별하는 데 핵심 리소스가 될 수 있다고 제안합니다.

Yamout는 "우리가 분석한 다른 Pegasus 감염과 이 동작의 일관성을 확인했기 때문에 이것이 감염 분석을 지원하는 신뢰할 수 있는 법의학적 유물이 될 것이라고 믿습니다"라고 덧붙였습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/