Kaspersky introduserer verktøy som oppdager Pegasus-spyware på iOS

Publisert på: Januar 18, 2024

Forskere på Kaspersky har utviklet en ny metode for å oppdage infeksjoner fra sofistikert iOS-spyware og lansert et lettvektsverktøy for iOS-brukere for å beskytte enhetene sine.

Verktøyet, iShutdown, er i stand til å identifisere tegn på spyware på iOS fra minst 3 vanskelige å oppdage spionvarefamilier, inkludert Pegasus, Intellexa's Predator og QuaDream's Reign.

Kasperskys Global Research and Analysis Team (GReAT) oppdaget at disse infeksjonene etterlater spor i en ofte oversett systemfil kalt Shutdown.log, som ligger i sysdiagnose-arkivet til iOS-enheter som registrerer detaljer hver gang iOS-enheten startes på nytt. Når en iOS-enhet infisert med Pegasus malware startes på nytt, forklarer forskere at filen registrerer uregelmessigheter som indikerer tilstedeværelse av spionprogrammer.

Blant disse uregelmessighetene identifiserte teamet "klistrete" prosesser som forstyrrer den normale omstartsprosessen, en egenskap som ofte er knyttet til Pegasus. De fant også spor etter infeksjoner ved å sammenligne funnene deres med kjent atferd av spionprogrammer rapportert av nettsikkerhetssamfunnet.

Videre, i sin analyse av Shutdown.log-filer fra enheter infisert med Pegasus, la teamet merke til et tilbakevendende mønster i filbanen "/private/var/db/", som ligner på de som finnes i infeksjoner av annen iOS-skadevare, som Reign og Predator.

"Sysdiag-dumpanalysen viser seg å være minimalt påtrengende og ressurslette, og er avhengig av systembaserte artefakter for å identifisere potensielle iPhone-infeksjoner. Etter å ha mottatt infeksjonsindikatoren i denne loggen og bekreftet infeksjonen ved hjelp av Mobile Verification Toolkit (MVTs) prosessering av andre iOS-artefakter, blir denne loggen nå en del av en helhetlig tilnærming til å undersøke infeksjon med skadelig programvare i iOS, sier Lead Security Researcher ved Kaspersky's Global Research og Analyseteam Maher Yamout.

Basert på disse observasjonene foreslår Kasperskys forskere at Shutdown.log-filen kan være en nøkkelressurs for å identifisere enheter infisert med denne typen skadelig programvare.

"Siden vi bekreftet konsistensen av denne oppførselen med de andre Pegasus-infeksjonene vi analyserte, tror vi det vil tjene som en pålitelig rettsmedisinsk artefakt for å støtte infeksjonsanalyse," la Yamout til.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/