Pesquisadores de cibersegurança identificaram um "método simplificado" chamado iShutdown para identificar de forma confiável sinais de spyware em dispositivos Apple iOS, incluindo ameaças notórias como Pegasus do Grupo NSO, Reign da QuaDream e Predator da Intellexa.
A Kaspersky, que analisou um conjunto de iPhones que foram comprometidos com o Pegasus, disse que as infecções deixaram rastros em um arquivo chamado "Shutdown.log", um arquivo de log do sistema baseado em texto disponível em todos os dispositivos iOS e que registra cada evento de reinicialização junto com suas características de ambiente.
"Em comparação com métodos de aquisição mais demorados como a criação de imagem forense do dispositivo ou um backup completo do iOS, a recuperação do arquivo Shutdown.log é bastante direta", diz o pesquisador de segurança Maher Yamout.
"O arquivo de log é armazenado em um arquivo sysdiagnose (sysdiag)."
A empresa de cibersegurança russa disse que identificou entradas no arquivo de log que registravam instâncias em que processos "persistentes", como os associados ao spyware, causavam um atraso no reinício, em alguns casos observando processos relacionados ao Pegasus em mais de quatro notificações de atraso de reinicialização.
O que é mais, a investigação revelou a presença de um caminho de sistema de arquivos semelhante que é usado por todas as três famílias de spyware - "/private/var/db/" para Pegasus e Reign, e "/private/var/tmp/" para Predator - atuando assim como um indicador de comprometimento.
Dito isto, o sucesso desta abordagem depende de uma ressalva de que o usuário-alvo reinicie seu dispositivo o máximo possível, a frequência para a qual varia de acordo com seu perfil de ameaça.
A Kaspersky também publicou uma coleção de scripts Python para extrair, analisar e interpretar a Shutdown.log para extrair as estatísticas de reinicialização.
"A natureza simplificada deste método torna-o prontamente disponível e acessível", disse Yamout.
"Além disso, este arquivo de log pode armazenar entradas por vários anos, tornando-se um artefato forense valioso para analisar e identificar entradas de log anômalas."
A divulgação ocorre como a SentinelOne revelou ladrões de informações visando o macOS, como KeySteal, Atomic e JaskaGo (também conhecido como CherryPie ou Gary Stealer), estão se adaptando rapidamente para contornar a tecnologia antivírus integrada da Apple chamada XProtect.
"A despeito dos esforços sólidos da Apple para atualizar seu banco de dados de assinaturas XProtect, essas linhagens de malware em rápida evolução continuam a evadir", disse o pesquisador de segurança Phil Stokes.
"Confiar apenas na detecção baseada em assinatura é insuficiente, pois os atores de ameaças têm os meios e o motivo para se adaptarem rapidamente."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...