«Лаборатория Касперского» разработала новый метод обнаружения шпионской программы Pegasus на iPhone

«Лаборатория Касперского» разработала новый метод обнаружения шпионской программы Pegasus на iPhone

Эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» создали новый метод обнаружения индикаторов заражения устройств на iOS сложным шпионским ПО, таким как Pegasus, Reign и Predator.

Компания сообщает, что специалисты разработали несложный инструмент для поиска ранее неизвестных следов в Shutdown.log, чтобы пользователи могли самостоятельно проверить свои устройства iPhone.

Исследователи «Лаборатории Касперского» обнаружили новые признаки заражения Pegasus в системном логе, Shutdown.log, хранящемся в архиве системной диагностики любого мобильного устройства на iOS. В этом архиве содержится информация о каждой сессии перезагрузки. Это означает, что аномалии, ассоциируемые с вредоносным ПО Pegasus, проявляются в логе, если владелец заражённого устройства регулярно перезагружает его.

Среди обнаруженных аномалий были записи о зависших процессах, мешающих перезагрузке, связанные с Pegasus, а также другие следы заражения, выявленные другими участниками сообщества по кибербезопасности.

«Утилита для анализа позволяет изучить системные артефакты и выявить потенциальное заражение iPhone с минимальными усилиями, почти не требуя ресурсов. Заражение, обнаруженное с помощью нашего метода на основании анализа индикаторов в логе, было подтверждено путём обработки других артефактов iOS с помощью Mobile Verification Toolkit (MVT). Соответственно, наш подход становится частью целостного подхода к исследованию заражений iOS. Более того, мы подтвердили последовательность этого поведения в других заражениях Pegasus, которые мы анализировали, и полагаем, что это послужит надёжным артефактом при дальнейшем изучении процесса заражения», — комментирует Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».

Проанализировав Shutdown.log в инцидентах Pegasus, эксперты «Лаборатории Касперского» увидели стандартные пути заражения, а именно “/private/var/db/”, аналогичные путям, которые были выявлены в заражениях iOS другим вредоносным ПО, таким как Reign и Predator. Специалисты компании предполагают, что этот лог-файл поможет выявлять заражения, связанные и с этими семействами вредоносных программ.

Чтобы облегчить поиск шпионского ПО на своих устройствах, эксперты «Лаборатории Касперского» разработали специальную утилиту, которая облегчает обнаружение, анализ и парсинг артефактов Shutdown.log.

Шпионское ПО под iOS, такое как Pegasus, отличается высоким уровнем сложности. Советы экспертов «Лаборатории Касперского» о том, как обезопасить устройства от подобных зловредов, можно найти на https://www.kaspersky.ru/about/press-releases/2024_laboratoriya-kasperskogo-razrabotala-novyj-metod-obnaruzheniya-shpionskoj-programmy-pegasus-na-iphone.

Ознакомиться с более подробной информацией о новых методах обнаружения индикаторов заражения устройств на iOS сложным шпионским ПО можно по ссылке: https://securelist.com/shutdown-log-lightweight-ios-malware-detection-method/111734/.