«Лаборатория Касперского» представляет инструмент, обнаруживающий шпионское ПО Pegasus на iOS

Опубликовано: 18 января 2024

Исследователи Kaspersky разработали новый метод обнаружения заражений сложными шпионскими программами для iOS и выпустили легкий инструмент для пользователей iOS для защиты своих устройств.

Инструмент, iВыключение, способен выявлять признаки шпионского ПО на iOS как минимум из трех труднообнаружимых семейств шпионского ПО, включая Pegasus, Predator от Intellexa и Reign от QuaDream.

Глобальная группа исследований и анализа Касперского (GReAT) обнаружила, что эти инфекции оставляют следы в часто упускаемом из виду системном файле Shutdown.log, расположенном в архиве sysdiagnose устройств iOS и записывающем подробности при каждом перезапуске устройства iOS. Когда устройство iOS, зараженное вредоносным ПО Pegasus, перезагружается, исследователи поясняют, что в файле сохраняются аномалии, указывающие на наличие шпионского ПО.

Среди этих аномалий команда определила «залипающие» процессы, которые нарушают нормальный процесс перезагрузки — характеристику, часто связываемую с Pegasus. Они также обнаружили следы заражения, сравнив свои выводы с известным поведением шпионских программ, о которых сообщило сообщество кибербезопасности.

Кроме того, при анализе файлов Shutdown.log с устройств, зараженных Pegasus, команда заметила повторяющийся шаблон в пути к файлу «/private/var/db/», который аналогичен тем, которые обнаруживаются при заражении другими вредоносными программами для iOS, такими как Царство и Хищник.

«Анализ дампа sysdiag оказывается минимально интрузивным и ресурсоемким, поскольку для выявления потенциальных заражений iPhone используются системные артефакты. Получив индикатор заражения в этом журнале и подтвердив заражение с помощью обработки Mobile Verification Toolkit (MVT) других артефактов iOS, этот журнал теперь становится частью целостного подхода к расследованию заражения iOS вредоносным ПО», — сказал ведущий исследователь безопасности в отделе глобальных исследований и исследований Касперского. Аналитическая группа Махер Ямут.

Основываясь на этих наблюдениях, исследователи «Лаборатории Касперского» предполагают, что файл Shutdown.log может быть ключевым ресурсом в идентификации устройств, зараженных этими типами вредоносных программ.

«Поскольку мы подтвердили соответствие этого поведения другим инфекциям Pegasus, которые мы анализировали, мы считаем, что оно послужит надежным судебно-медицинским артефактом для поддержки анализа заражения», — добавил Ямут.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/