«Лаборатория Касперского» разработала новый метод обнаружения шпионской программы Pegasus на iPhone
Эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» создали новый метод обнаружения индикаторов заражения устройств на iOS сложным шпионским ПО, таким как Pegasus, Reign и Predator.
Компания сообщает, что специалисты разработали несложный инструмент для поиска ранее неизвестных следов в Shutdown.log, чтобы пользователи могли самостоятельно проверить свои устройства iPhone.
Исследователи «Лаборатории Касперского» обнаружили новые признаки заражения Pegasus в системном логе, Shutdown.log, хранящемся в архиве системной диагностики любого мобильного устройства на iOS. В этом архиве содержится информация о каждой сессии перезагрузки. Это означает, что аномалии, ассоциируемые с вредоносным ПО Pegasus, проявляются в логе, если владелец заражённого устройства регулярно перезагружает его.
Среди обнаруженных аномалий были записи о зависших процессах, мешающих перезагрузке, связанные с Pegasus, а также другие следы заражения, выявленные другими участниками сообщества по кибербезопасности.
«Утилита для анализа позволяет изучить системные артефакты и выявить потенциальное заражение iPhone с минимальными усилиями, почти не требуя ресурсов. Заражение, обнаруженное с помощью нашего метода на основании анализа индикаторов в логе, было подтверждено путём обработки других артефактов iOS с помощью Mobile Verification Toolkit (MVT). Соответственно, наш подход становится частью целостного подхода к исследованию заражений iOS. Более того, мы подтвердили последовательность этого поведения в других заражениях Pegasus, которые мы анализировали, и полагаем, что это послужит надёжным артефактом при дальнейшем изучении процесса заражения», — комментирует Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз «Лаборатории Касперского».
Проанализировав Shutdown.log в инцидентах Pegasus, эксперты «Лаборатории Касперского» увидели стандартные пути заражения, а именно “/private/var/db/”, аналогичные путям, которые были выявлены в заражениях iOS другим вредоносным ПО, таким как Reign и Predator. Специалисты компании предполагают, что этот лог-файл поможет выявлять заражения, связанные и с этими семействами вредоносных программ.
Чтобы облегчить поиск шпионского ПО на своих устройствах, эксперты «Лаборатории Касперского» разработали специальную утилиту, которая облегчает обнаружение, анализ и парсинг артефактов Shutdown.log.
Шпионское ПО под iOS, такое как Pegasus, отличается высоким уровнем сложности. Советы экспертов «Лаборатории Касперского» о том, как обезопасить устройства от подобных зловредов, можно найти по ссылке.
Ознакомиться с более подробной информацией о новых методах обнаружения индикаторов заражения устройств на iOS сложным шпионским ПО можно по ссылке.
Новостная лента
Видео
Струнный квартет имени Комитаса отмечает 100-летие
