iOS: Shutdown.log aiuta a rilevare spyware dannosi su iPhone

I ricercatori Kaspersky hanno scoperto iShutdown, un nuovo metodo che rileva in modo affidabile segni di spyware che infestano i dispositivi Apple compromessi in esecuzione sulla piattaforma iOS. Questo script è in grado di rilevare spyware di alto profilo come Predator, Reign e Pegasus. Kaspersky ha rilasciato tre script Python che automatizzano l'intero processo per una valutazione più semplice dei dispositivi: iShutdown_detect.py (analizza l'archivio Sysdiagnose contenente il file di registro), iShutdown_parse.py, (estrae gli artefatti Shutdown.log dall'archivio tar) e iShutdown_stats.py (estrae le statistiche di riavvio dal file di registro). Shutdown.log può scrivere dati contenenti segni di infezione solo se viene eseguito un riavvio dopo la compromissione. Kaspersky consiglia quindi di riavviare spesso il dispositivo infetto.

Shutdown.log: necessario il riavvio del device iOS il giorno dell’infezione

Il repository GitHub di Kaspersky contiene istruzioni su come utilizzare gli script Python e anche output di esempio. Tuttavia, per valutare correttamente i risultati è necessario avere familiarità con Python, iOS, output del terminale e indicatori di malware. I file Sysdiagnose sono file .tar.gz compressi da 200-400 MB utilizzati per diagnosticare problemi sui dispositivi iOS e iPadOS. Contengono informazioni sul comportamento del software, sulle comunicazioni di rete e altro ancora. Inizialmente Kaspersky ha utilizzato questo metodo per analizzare gli iPhone infettati dallo spyware Pegasus e ha ottenuto l'indicatore dell'infezione dal file di registro, che è stato confermato utilizzando lo strumento MVT sviluppato da Amnesty International. I ricercatori sottolineano che il loro metodo fallisce se l'utente non riavvia il dispositivo il giorno dell'infezione. Un'altra osservazione è che il file registra quando il computer riavviato rallenta, come nel caso di un processo relativo a Pegasus che blocca il processo.

Testando il metodo su un iPhone colpito dallo spyware Reign, i ricercatori hanno notato che l'esecuzione del malware proveniva da “/private/var/db/”. Si tratta dello stesso percorso utilizzato nel caso di Pegasus. Un percorso simile visibile nel file di registro di Shutdown viene spesso utilizzato anche dallo spyware Predator, che prendeva di mira legislatori e giornalisti. Sulla base di ciò, i ricercatori di Kaspersky ritengono che l'utilizzo del file di registro potrebbe essere in grado di aiutare a identificare le infezioni da parte di queste famiglie di malware. L’unica condizione è che l'utente/obiettivo riavvii il telefono frequentemente.