Новый метод обнаружения заражения iOS-устройств сложным шпионским ПО, таким, как Pegasus, Reign и Predator, создали эксперты Глобального центра исследований и анализа угроз (GReAT), сообщает «Лаборатория Касперского» во вторник.
В компании отмечают, что разработанный специалистами инструмент несложен в применении и позволяет пользователю самостоятельно проверить свой iPhone.
Напомним, Pegasus – продукт разработчика шпионского ПО, израильской компании NSO Group. Будучи внедрённым в смартфон жертвы, предоставляет доступ к содержимому памяти устройства, а также к камере с микрофоном, что позволяет вести эффективную слежку за объектами шпионажа. Разработчик утверждает, что Pegasus продаётся только правительствам. Возможно, это так, но о том, как контролируется дальнейшее распространение Pegasus, сообщений нет.
Как говорится в сообщении, инструмент «Лаборатории Касперского» ищет ранее неизвестные следы заражения Pegasus в системном логе shutdown.log, хранящемся в архиве системной диагностики любого мобильного устройства на iOS.
В этом архиве содержится информация о каждой сессии перезагрузки. Это означает, что аномалии, вызывающие подозрение на заражение Pegasus, проявляются в логе, если владелец заражённого устройства регулярно перезагружает его.
Среди обнаруженных аномалий были связанные с Pegasus записи о «зависших» процессах, мешающих перезагрузке, а также другие следы заражения, выявленные не только ЛК, но и другими участниками ИБ-сообщества.
Подробнее об индикаторах заражения устройств на iOS сложным шпионским ПО >>>
Проанализировав shutdown.log в инцидентах, связанных с Pegasus, эксперты «Лаборатории Касперского» увидели стандартные пути заражения, а именно “/private/var/db/”, аналогичные путям, которые были выявлены в заражениях iOS другим вредоносным ПО, таким как Reign и Predator.
Шпионское ПО для iOS отличается высокой сложностью. Чтобы обезопасить устройства от подобных зловредов, эксперты ЛК рекомендуют следующее.