Gli script iShutdown possono aiutarti a rilevare lo spyware iOS sul tuo iPhone

I ricercatori di sicurezza hanno scoperto che le infezioni con spyware di alto profilo Pegasus, Reign e Predator potrebbero essere scoperte su dispositivi mobili Apple compromessi controllando Shutdown.log, un file di registro di sistema che memorizza gli eventi di riavvio.

Kaspersky ha rilasciato script Python per automatizzare il processo di analisi del file Shutdown.log e riconoscere potenziali segni di infezione da malware in un modo che sia facile da valutare.

Shutdown.log viene scritto al riavvio del dispositivo e registra il tempo necessario per terminare un processo e il relativo identificatore (PID).

Il malware che ha un effetto misurabile sul riavvio del dispositivo a causa dell'iniezione di processo e della manipolazione che esegue, lascia artefatti forensi digitali che convalidano la compromissione.

Rispetto alle tecniche standard come l'esame di un backup iOS crittografato o del traffico di rete, il file Shutdown.log fornisce un metodo di analisi molto più semplice, dicono i ricercatori.

Kaspersky ha pubblicato tre script Python chiamati iShutdown che consentono ai ricercatori di controllare i dati di riavvio dal file di registro di spegnimento di iOS:

Poiché il file Shutdown.log può scrivere dati contenenti segni di infezione solo se viene eseguito un riavvio dopo la compromissione, Kaspersky consiglia di riavviare spesso il dispositivo infetto.

"Quanto spesso, potresti chiedere? Beh, dipende! Dipende dal profilo di minaccia dell'utente; ogni poche ore, ogni giorno o forse in occasione di "eventi importanti"; lasceremo questa domanda come una domanda a risposta aperta" - Kaspersky

Il repository GitHub di Kaspersky contiene istruzioni su come utilizzare gli script Python e anche output di esempio.

Tuttavia, per valutare correttamente i risultati è necessaria una certa familiarità con Python, iOS, output del terminale e indicatori di malware.

L'output evidenzia in rosso i processi che ritardano il processo di riavvio

Processi di evidenziazione dell'output che ritardano il processo di riavvio (Kaspersky)

I file Sysdiagnose sono archivi .tar.gz da 200-400 MB utilizzati per la risoluzione dei problemi dei dispositivi iOS e iPadOS, contenenti informazioni sul comportamento del software, sulle comunicazioni di rete e altro ancora.

Inizialmente Kaspersky ha utilizzato questo metodo per analizzare gli iPhone infettati dallo spyware Pegasus e ha ricevuto l'indicatore dell'infezione nel registro, confermato utilizzando lo strumento MVT sviluppato da Amnesty International.

"Poiché abbiamo confermato la coerenza di questo comportamento con le altre infezioni di Pegasus analizzate, riteniamo che fungerà da strumento forense affidabile per supportare l'analisi delle infezioni" - Kaspersky

I ricercatori notano che il loro metodo fallisce se l'utente non riavvia il dispositivo il giorno dell'infezione.

Un'altra osservazione è che il file di registro registra quando un riavvio viene ritardato, come nel caso di un processo correlato a Pegasus che impedisce la procedura.

Sebbene ciò possa verificarsi su telefoni non infetti, i ricercatori di Kaspersky ritengono che più di quattro ritardi, considerati eccessivi, costituiscano un'anomalia del registro che dovrebbe essere indagata.

Testando il metodo su un iPhone infetto dallo spyware Reign, i ricercatori hanno notato che l'esecuzione del malware proveniva da "/private/var/db/", lo stesso percorso utilizzato nel caso di Pegasus.

Un percorso simile visibile nel file di registro di Shurdown viene spesso utilizzato anche dallo spyware Predator che prendeva di mira legislatori e giornalisti.

Sulla base di ciò, i ricercatori di Kaspersky ritengono che l'utilizzo del "file di registro potrebbe essere in grado di aiutare a identificare le infezioni da parte di queste famiglie di malware", a condizione che l'obiettivo riavvii il telefono con una frequenza sufficiente.