Kaspersky introduceert tool die Pegasus-spyware op iOS detecteert

Gepubliceerd op: 18 januari 2024

Onderzoekers bij Kaspersky hebben een nieuwe methode ontwikkeld om infecties door geavanceerde iOS-spyware te detecteren en een lichtgewicht tool uitgebracht waarmee iOS-gebruikers hun apparaten kunnen beschermen.

Het gereedschap, iAfsluiten, is in staat tekenen van spyware op iOS te identificeren van ten minste drie moeilijk te detecteren spywarefamilies, waaronder Pegasus, Intellexa's Predator en QuaDream's Reign.

Kaspersky’s Global Research and Analysis Team (GReAT) ontdekte dat deze infecties sporen achterlaten in een vaak over het hoofd gezien systeembestand genaamd Shutdown.log, dat zich bevindt in het sysdiagnose-archief van iOS-apparaten en dat details registreert elke keer dat het iOS-apparaat opnieuw wordt opgestart. Wanneer een iOS-apparaat dat is geïnfecteerd met Pegasus-malware opnieuw wordt opgestart, leggen onderzoekers uit dat het bestand afwijkingen registreert die wijzen op de aanwezigheid van spyware.

Onder deze afwijkingen identificeerde het team ‘plakkerige’ processen die het normale herstartproces verstoren, een kenmerk dat vaak verband houdt met Pegasus. Ze vonden ook sporen van infecties door hun bevindingen te vergelijken met bekend gedrag van spyware gerapporteerd door de cyberbeveiligingsgemeenschap.

Bovendien merkte het team bij hun analyse van Shutdown.log-bestanden van met Pegasus geïnfecteerde apparaten een terugkerend patroon op in het bestandspad ‘/private/var/db/’, dat vergelijkbaar is met de patronen die worden aangetroffen bij infecties door andere iOS-malware, zoals Regeer en roofdier.

“De sysdiag-dumpanalyse blijkt minimaal indringend en weinig middelen te vereisen, en vertrouwt op systeemgebaseerde artefacten om potentiële iPhone-infecties te identificeren. Nu we de infectie-indicator in dit logboek hebben ontvangen en de infectie hebben bevestigd met behulp van de Mobile Verification Toolkit (MVT's) verwerking van andere iOS-artefacten, wordt dit logboek nu onderdeel van een holistische aanpak voor het onderzoeken van iOS-malware-infecties”, aldus Lead Security Researcher bij Kaspersky's Global Research en Analyseteam Maher Yamout.

Op basis van deze observaties suggereren de onderzoekers van Kaspersky dat het bestand Shutdown.log een belangrijke bron zou kunnen zijn bij het identificeren van apparaten die zijn geïnfecteerd met dit soort malware.

“Aangezien we de consistentie van dit gedrag hebben bevestigd met de andere Pegasus-infecties die we hebben geanalyseerd, denken we dat het zal dienen als een betrouwbaar forensisch artefact ter ondersteuning van infectieanalyse,” voegde Yamout eraan toe.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/