Kaspersky giới thiệu công cụ phát hiện phần mềm gián điệp Pegasus trên iOS

Được đăng trên: 18 Tháng một, 2024

Các nhà nghiên cứu tại Kaspersky đã phát triển một phương pháp mới để phát hiện sự lây nhiễm từ phần mềm gián điệp iOS tinh vi và phát hành một công cụ nhẹ dành cho người dùng iOS để bảo vệ thiết bị của họ.

Công cụ, iShutdown, có khả năng xác định dấu hiệu phần mềm gián điệp trên iOS từ ít nhất 3 họ phần mềm gián điệp khó phát hiện, bao gồm Pegasus, Predator của Intellexa và QuaDream's Reign.

Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky (GReAT) đã phát hiện ra rằng những sự lây nhiễm này để lại dấu vết trong một tệp hệ thống thường bị bỏ qua có tên Shutdown.log, nằm trong kho lưu trữ sysdiagnose của thiết bị iOS ghi lại chi tiết mỗi khi thiết bị iOS được khởi động lại. Khi một thiết bị iOS bị nhiễm phần mềm độc hại Pegasus được khởi động lại, các nhà nghiên cứu giải thích rằng tệp này ghi lại những điểm bất thường cho thấy sự hiện diện của phần mềm gián điệp.

Trong số những điểm bất thường này, nhóm đã xác định được các quy trình “dính” làm gián đoạn quá trình khởi động lại bình thường, một đặc điểm thường liên quan đến Pegasus. Họ cũng tìm thấy dấu vết lây nhiễm bằng cách so sánh phát hiện của họ với các hành vi đã biết của phần mềm gián điệp được cộng đồng an ninh mạng báo cáo.

Hơn nữa, trong quá trình phân tích các tệp Shutdown.log từ các thiết bị bị nhiễm Pegasus, nhóm đã nhận thấy một mô hình lặp lại trong đường dẫn tệp “/private/var/db/,” tương tự như các mô hình được tìm thấy trong các phần mềm độc hại iOS khác, như Triều đại và kẻ săn mồi.

“Phân tích kết xuất sysdiag được chứng minh là có khả năng xâm nhập tối thiểu và tiêu tốn ít tài nguyên, dựa vào các tạo phẩm dựa trên hệ thống để xác định khả năng lây nhiễm iPhone. Sau khi nhận được chỉ báo lây nhiễm trong nhật ký này và xác nhận sự lây nhiễm bằng cách sử dụng quá trình xử lý của Bộ công cụ xác minh di động (MVT) đối với các thành phần iOS khác, nhật ký này giờ đây trở thành một phần trong phương pháp tiếp cận toàn diện để điều tra việc lây nhiễm phần mềm độc hại trên iOS,” Trưởng nhóm nghiên cứu bảo mật tại Phòng nghiên cứu và phát triển toàn cầu của Kaspersky cho biết. Nhóm phân tích Maher Yamout.

Dựa trên những quan sát này, các nhà nghiên cứu của Kaspersky cho rằng tệp Shutdown.log có thể là tài nguyên chính trong việc xác định các thiết bị bị nhiễm các loại phần mềm độc hại này.

Yamout nói thêm: “Vì chúng tôi đã xác nhận tính nhất quán của hành vi này với các bệnh nhiễm trùng Pegasus khác mà chúng tôi đã phân tích, nên chúng tôi tin rằng nó sẽ đóng vai trò như một công cụ pháp lý đáng tin cậy để hỗ trợ phân tích lây nhiễm”.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.safetydetectives.com/news/kaspersky-introduces-tool-that-detects-pegasus-spyware-on-ios/