Эксперты «Лаборатории Касперского» представили новый метод обнаружения индикаторов заражения устройств на iOS сложным шпионским ПО, включая Pegasus, Reign и Predator.
Исследователи рассказали, что им удалось обнаружить новые признаки заражения Pegasus в системном логе, Shutdown.log, хранящемся в архиве системной диагностики любого мобильного устройства на iOS. В этом архиве содержится информация о каждой сессии перезагрузки. Это означает, что аномалии, ассоциируемые с малаварью Pegasus, проявляются в логе, если владелец зараженного устройства регулярно перезагружает его.
Среди обнаруженных аномалий были записи о зависших процессах, мешающих перезагрузке (связанные с Pegasus), а также другие следы заражения, выявленные другими участниками ИБ-сообщества.
«Утилита для анализа позволяет изучить системные артефакты и выявить потенциальное заражение iPhone с минимальными усилиями, почти не требуя ресурсов. Заражение, обнаруженное с помощью нашего метода на основании анализа индикаторов в логе, было подтверждено путем обработки других артефактов iOS с помощью Mobile Verification Toolkit (MVT). Соответственно, наш подход становится частью целостного подхода к исследованию заражений iOS. Более того, мы подтвердили последовательность этого поведения в других заражениях Pegasus, которые мы анализировали, и полагаем, что это послужит надежным артефактом при дальнейшем изучении процесса заражения», — комментирует Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».
Проанализировав Shutdown.log в инцидентах Pegasus, эксперты обнаружили стандартные пути заражения, а именно/private/var/db/, аналогичные путям, которые были выявлены в заражениях iOS другим вредоносным ПО, включая Reign и Predator. Специалисты компании предполагают, что этот лог-файл поможет выявлять заражения, связанные и с этими семействами вредоносных программ.
Чтобы облегчить поиск шпионского ПО, эксперты разработали и опубликовали на GitHub специальную утилиту, которая облегчает обнаружение, анализ и парсинг артефактов Shutdown.log.