L'équipe mondiale de recherche et d'analyse de Kaspersky (GReAT) a développé une méthode de détection rapide des indicateurs d'infection par les logiciels espions iOS sophistiqués tels que Pegasus, Reign et Predator en analysant Shutdown.log, un artefact d’informatique légale jusqu'alors inexploré.
Les experts de l'entreprise ont découvert que les infections causées par Pegasus laissent des traces dans le journal Shutdown.log, stocké dans l'archive sysdiagnose de tout appareil mobile iOS. Cette archive conserve les informations de chaque session de redémarrage, ce qui signifie que les anomalies associées au logiciel malveillant Pegasus deviennent apparentes dans le journal si un utilisateur infecté redémarre son appareil.
Parmi les anomalies identifiées figurent des cas de processus « persistants » empêchant les redémarrages, notamment associé à Pegasus, ainsi que des traces d'infection observées par différents spécialistes cyber.
« L'analyse du dump du fichier sysdiag s'avère peu intrusive, et demande peu de ressources, puisqu'elle s'appuie sur des éléments du système pour identifier les infections potentielles de l'iPhone. Ayant reçu l'indicateur de problème de sécurité dans ce journal et confirmé l'infection en utilisant les processus Mobile Verification Toolkit (MVT) d'autres artefacts iOS, l’analyse de ce journal fait maintenant partie intégrante des enquêtes portant sur les logiciels malveillants iOS, et nous pensons qu'il servira d'artefact d’informatique légale fiable pour étayer l'analyse de l'infection », commente Maher Yamout, chercheur principal en sécurité au GReAT de Kaspersky.
En analysant le fichier Shutdown.log dans les infections Pegasus, les experts de Kaspersky ont observé un chemin d'infection commun, en particulier "/private/var/db/", reflétant les chemins observés dans les infections causées par d'autres logiciels malveillants iOS tels que Reign et Predator. Les chercheurs de l'entreprise suggèrent que ce fichier pourrait permettre d'identifier les infections liées à ces familles de logiciels malveillants.
Pour faciliter la recherche d'infections par des logiciels espions, les experts de Kaspersky ont développé un programme d'auto-vérification pour les utilisateurs. Les scripts Python3 facilitent l'extraction, l'analyse et le traitement de l'artefact Shutdown.log. L'outil est partagé publiquement sur GitHub et disponible pour macOS, Windows et Linux.
Les logiciels espions pour iOS, tels que Pegasus, sont très sophistiqués. Bien que la communauté cyber ne puisse pas toujours empêcher la réussite de leur mise en œuvre, les utilisateurs peuvent prendre des mesures pour rendre la tâche difficile aux attaquants. Pour se prémunir contre les logiciels espions avancés sur iOS, les experts de Kaspersky recommandent ce qui suit :
En intégrant ces pratiques à leur routine, les utilisateurs peuvent renforcer leurs défenses contre les logiciels espions iOS avancés et réduire le risque d'attaques réussies.