Kaspersky представляє інструмент, який виявляє шпигунське програмне забезпечення Pegasus на iOS

Опубліковано: Січень 18, 2024

Дослідники в Kaspersky розробили новий метод виявлення заражень від складного шпигунського програмного забезпечення iOS і випустили легкий інструмент для користувачів iOS для захисту своїх пристроїв.

інструмент, iShutdown, здатний ідентифікувати ознаки шпигунського програмного забезпечення на iOS щонайменше з 3 сімейств шпигунського програмного забезпечення, які важко виявити, включаючи Pegasus, Predator від Intellexa та Reign від QuaDream.

Глобальна дослідницько-аналітична група Касперського (GReAT) виявила, що ці інфекції залишають сліди в системному файлі під назвою Shutdown.log, який часто забувають, і розташований в архіві sysdiagnose пристроїв iOS, який записує деталі кожного разу, коли пристрій iOS перезавантажується. Коли пристрій iOS, заражений шкідливим програмним забезпеченням Pegasus, перезавантажується, дослідники пояснюють, що файл записує аномалії, які вказують на наявність шпигунського ПЗ.

Серед цих аномалій команда виявила «липкі» процеси, які порушують нормальний процес перезавантаження, характеристику, яку часто пов’язують з Pegasus. Вони також виявили сліди зараження, порівнявши свої висновки з відомою поведінкою шпигунського програмного забезпечення, про яке повідомляє спільнота кібербезпеки.

Крім того, під час аналізу файлів Shutdown.log із пристроїв, інфікованих Pegasus, команда помітила повторюваний шаблон у шляху до файлу «/private/var/db/», який схожий на той, що виявляється під час інфікування іншими зловмисними програмами для iOS, як-от Reign і Predator.

«Аналіз дампа системної діагностики виявився мінімально нав’язливим і малоресурсним, покладаючись на системні артефакти для виявлення потенційних заражень iPhone. Отримавши індикатор зараження в цьому журналі та підтвердивши зараження за допомогою Mobile Verification Toolkit (MVT), обробивши інші артефакти iOS, цей журнал тепер стає частиною цілісного підходу до розслідування зараження зловмисним програмним забезпеченням iOS», — сказав провідний дослідник безпеки в Kaspersky's Global Research and Команда аналізу Махер Ямут.

На основі цих спостережень дослідники Касперського припускають, що файл Shutdown.log може бути ключовим ресурсом для ідентифікації пристроїв, заражених цим типом шкідливого програмного забезпечення.

«Оскільки ми підтвердили узгодженість цієї поведінки з іншими проаналізованими нами зараженнями Pegasus, ми вважаємо, що це буде надійним криміналістичним артефактом для підтримки аналізу інфекції», — додав Ямут.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/