El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha desarrollado un nuevo método para detectar indicadores de infección de spyware en iOS, como Pegasus, Reign y Predator mediante una herramienta de autocomprobación. Los expertos de Kaspersky descubrieron que las infecciones causadas por Pegasus dejan rastros en el registro del sistema, Shutdown.log, almacenado en el archivo sysdiagnose de cualquier dispositivo móvil iOS. Este archivo guarda información de cada reinicio de sesión, por lo que, si un usuario con esta infección en el sistema reinicia su dispositivo, las anomalías asociadas al malware Pegasus permanecen en el registro. Además, se identificaron casos que impedían el reinicio del equipo, especialmente los relacionados con Pegasus, junto con rastros de infección descubiertos por las observaciones de la comunidad de ciberseguridad.
“El análisis de sysdiag es mínimamente intrusivo y consume pocos recursos, apoyándose en herramientas del sistema para identificar posibles infecciones del iPhone”, señala Maher Yamout, analista jefe de Seguridad en el GReAT de Kaspersky.
Al analizar el archivo Shutdown.log en las infecciones de Pegasus, los expertos de Kaspersky observaron una ruta de infección común, concretamente /private/var/db/, reflejada en infecciones causadas por otros malware para iOS, como Reign y Predator. Los analistas de la compañía sugieren que este archivo de registro tiene potencial para identificar infecciones relacionadas con estas familias de malware.
Para facilitar la búsqueda de infecciones de spyware, los expertos de Kaspersky han desarrollado una herramienta de autocomprobación disponible para los usuarios. Los scripts Python3 facilitan la extracción, el análisis y el estudio sintáctico de Shutdown.log, el cual se comparte públicamente en GitHub y está disponible para macOS, Windows y Linux.
Para mantenerse protegido de este tipo de ataques, los expertos de Kaspersky recomiendan:
Encuentra más información sobre las últimas ciberamenazas en Securelist.
[Volver]