Pesquisadores de segurança descobriram que infecções com spyware Pegasus, Reign e Predator de alto perfil podem ser descobertas em iPhones da Apple comprometidos verificando utilizando scripts iShutdown. O Shutdown é um arquivo de log do sistema que armazena eventos de reinicialização.
Scripts iShutdown podem ajudar a detectar spyware iOS no seu iPhone
A Kaspersky lançou scripts Python para automatizar o processo de análise do arquivo Shutdown.log e reconhecer possíveis sinais de infecção por malware de uma forma fácil de avaliar. O Shutdown.log é escrito ao reiniciar o dispositivo e registra o tempo que um processo precisa para terminar e seu identificador (PID).
Scripts de desligamento
O malware que tem um efeito mensurável na reinicialização do dispositivo devido à injeção e manipulação do processo que realiza, deixa artefatos forenses digitais que validam o comprometimento. Comparado às técnicas padrão, como examinar um backup criptografado do iOS ou tráfego de rede, o arquivo Shutdown.log fornece um método de análise muito mais fácil, dizem os pesquisadores.
A Kaspersky publicou três scripts Python chamados iShutdown que permitem aos pesquisadores verificar os dados de reinicialização do arquivo de log de desligamento do iOS: iShutdown_detect.py – analisa o arquivo Sysdiagnose que contém o arquivo de log; iShutdown_parse.py – extrai os artefatos Shutdown.log do arquivo tar e; iShutdown_stats.py – extrai estatísticas de reinicialização do arquivo de log.
Como o arquivo Shutdown.log só pode gravar dados contendo sinais de infecção se uma reinicialização for realizada após o comprometimento, a Kaspersky recomenda reiniciar a infecção do dispositivo com frequência.
O repositório GitHub da Kaspersky contém instruções sobre como usar os scripts Python e também exemplos de resultados. No entanto, é necessária alguma familiaridade com Python, iOS, saída de terminal e indicadores de malware para avaliar os resultados adequadamente.
Os arquivos Sysdiagnose são arquivos .tar.gz de 200 a 400 MB usados para solucionar problemas de dispositivos iOS e iPadOS, contendo informações sobre comportamento de software, comunicações de rede e muito mais. A Kaspersky utilizou inicialmente o método para analisar iPhones infectados pelo spyware Pegasus e recebeu o indicador de infecção no log, que foi confirmado por meio da ferramenta MVT desenvolvida pela Anistia Internacional.
Atenção para usar os scripts corretamente
Os pesquisadores observam que o método falhará se o usuário não reiniciar o dispositivo no dia da infecção. Outra observação é que o arquivo de log registra quando uma reinicialização é atrasada, como no caso de um processo relacionado ao Pegasus que impede o procedimento. Embora isto possa acontecer em telefones não infectados, os investigadores da Kaspersky acreditam que mais de quatro atrasos, o que é considerado excessivo, são uma anomalia de registro que deve ser investigada.
Ao testar o método em um iPhone infectado com o spyware Reign, os pesquisadores notaram que a execução do malware se originou de “/private/var/db/”, o mesmo caminho do caso do Pegasus. Um caminho semelhante visível no arquivo de log Shurdown também é frequentemente usado pelo spyware Predator que tem como alvo legisladores e jornalistas.
Com base nisso, os pesquisadores da Kaspersky acreditam que o uso do “arquivo de log pode ajudar a identificar infecções por essas famílias de malware”, desde que o alvo reinicie o telefone com frequência suficiente.