Los investigadores de ciberseguridad han identificado un «método ligero» llamado iApagar para identificar de manera confiable signos de software espía en dispositivos Apple iOS, incluidas amenazas notorias como Pegasus de NSO Group, Reign de QuaDream y Predator de Intellexa.
Kaspersky, que analizó un conjunto de iPhones que fueron comprometidos con Pegasus, dijo que las infecciones dejaron rastros en un archivo llamado «Shutdown.log», un archivo de registro del sistema basado en texto disponible en todos los dispositivos iOS y que registra cada evento de reinicio junto con su entorno. características.
«En comparación con métodos de adquisición que consumen más tiempo, como imágenes forenses de dispositivos o una copia de seguridad completa de iOS, recuperar el archivo Shutdown.log es bastante sencillo», afirma el investigador de seguridad Maher Yamout. dicho. «El archivo de registro se almacena en un archivo sysdiagnose (sysdiag)».
La firma rusa de ciberseguridad dijo que identificó entradas en el archivo de registro que registraron casos en los que procesos «pegajosos», como los asociados con el software espía, causaron un retraso en el reinicio, observando en algunos casos procesos relacionados con Pegasus en más de cuatro avisos de retraso en el reinicio.
Es más, la investigación reveló la presencia de una ruta de sistema de archivos similar que utilizan las tres familias de software espía: «/private/var/db/» para Pegasus y Reign, y «/private/var/tmp/» para Predator. actuando así como indicador de compromiso.
Dicho esto, el éxito de este enfoque depende de la advertencia de que el usuario objetivo reinicie su dispositivo con la mayor frecuencia posible, cuya frecuencia varía según su perfil de amenaza.
Kaspersky también publicado una colección de scripts de Python para extraer, analizar y analizar Shutdown.log para extraer las estadísticas de reinicio.
«La naturaleza liviana de este método lo hace fácilmente disponible y accesible», dijo Yamout. «Además, este archivo de registro puede almacenar entradas durante varios años, lo que lo convierte en un valioso artefacto forense para analizar e identificar entradas de registro anómalas».
La divulgación se produce cuando SentinelOne reveló ladrones de información dirigidos a macOS como robo de llavesAtomic y JaskaGo (también conocido como CherryPie o Gary Stealer) se están adaptando rápidamente para eludir la tecnología antivirus incorporada de Apple llamada XProtect.
«A pesar de los sólidos esfuerzos de Apple para actualizar su base de datos de firmas XProtect, estas cepas de malware que evolucionan rápidamente continúan eludiendo», dijo el investigador de seguridad Phil Stokes. dicho. «Dependerse únicamente de la detección basada en firmas es insuficiente ya que los actores de amenazas tienen los medios y los motivos para adaptarse rápidamente».