Kaspersky introducerar verktyg som upptäcker Pegasus spionprogram på iOS

Publicerad på: Januari 18, 2024

Forskare på kaspersky har utvecklat en ny metod för att upptäcka infektioner från sofistikerade iOS-spionprogram och släppt ett lättviktigt verktyg för iOS-användare för att skydda sina enheter.

Verktyget, avstängning, kan identifiera tecken på spionprogram på iOS från minst tre svårupptäckta spionprogramsfamiljer, inklusive Pegasus, Intellexa's Predator och QuaDream's Reign.

Kasperskys Global Research and Analysis Team (GReAT) upptäckte att dessa infektioner lämnar spår i en ofta förbisedd systemfil som heter Shutdown.log, som finns i sysdiagnosearkivet för iOS-enheter som registrerar detaljer varje gång iOS-enheten startas om. När en iOS-enhet infekterad med Pegasus skadlig programvara startas om, förklarar forskare att filen registrerar anomalier som tyder på närvaro av spionprogram.

Bland dessa anomalier identifierade teamet "klibbiga" processer som stör den normala omstartsprocessen, en egenskap som ofta är kopplad till Pegasus. De hittade också spår av infektioner genom att jämföra sina fynd med kända beteenden hos spionprogram som rapporterats av cybersäkerhetsgemenskapen.

Vidare, i sin analys av Shutdown.log-filer från enheter infekterade med Pegasus, märkte teamet ett återkommande mönster i filsökvägen "/private/var/db/", som liknar de som finns i infektioner av annan iOS-skadlig programvara, som t.ex. Reign och Predator.

"Sysdiag-dumpningsanalysen visar sig vara minimalt påträngande och resurslätt, och förlitar sig på systembaserade artefakter för att identifiera potentiella iPhone-infektioner. Efter att ha tagit emot infektionsindikatorn i den här loggen och bekräftat infektionen med hjälp av Mobile Verification Toolkit (MVT:s) bearbetning av andra iOS-artefakter, blir den här loggen nu en del av ett holistiskt tillvägagångssätt för att undersöka infektion med iOS skadlig kod”, säger Lead Security Researcher vid Kaspersky's Global Research och Analysteam Maher Yamout.

Baserat på dessa observationer föreslår Kasperskys forskare att filen Shutdown.log kan vara en nyckelresurs för att identifiera enheter som är infekterade med dessa typer av skadlig programvara.

"Eftersom vi bekräftade överensstämmelsen av detta beteende med de andra Pegasus-infektioner vi analyserade, tror vi att det kommer att fungera som en pålitlig kriminalteknisk artefakt för att stödja infektionsanalys," tillade Yamout.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/