Método iShutdown identifica spyware em iPhones incluindo Pegasus e Predator
Pesquisadores de cibersegurança identificaram um método chamado iShutdown para identificar de forma confiável sinais de spyware em dispositivos Apple iOS, incluindo ameaças notórias como Pegasus do NSO Group, Reign da QuaDream e Predator da Intellexa.
A Kaspersky, que analisou um conjunto de iPhones comprometidos com o Pegasus, disse que as infecções deixaram vestígios em um arquivo chamado “Shutdown.log”, um arquivo de log do sistema baseado em texto disponível em todos os dispositivos iOS e que registra cada evento de reinicialização junto com suas características ambientais.
A empresa russa de cibersegurança identificou entradas no arquivo de log que registravam instâncias em que processos “pegajosos”, como os associados ao spyware, causavam um atraso na reinicialização, observando em alguns casos processos relacionados ao Pegasus em mais de quatro avisos de atraso de reinicialização. Além disso, a investigação revelou a presença de um caminho semelhante no sistema de arquivos usado pelas três famílias de spyware, “/private/var/db/” para Pegasus e Reign, e “/private/var/tmp/” para Predator, atuando como um indicador de comprometimento. No entanto, o sucesso dessa abordagem depende da frequência com que o usuário-alvo reinicia seu dispositivo, que varia de acordo com seu perfil de ameaça.
Fonte: BoletimSec
Publicado em: Cybersegurança