В “Лаборатории Касперского” представили новый способ, при помощи которого можно обнаружить шпионское ПО на устройствах с системой iOS. Пользователи могут самостоятельно найти Pegasus, Reign и Predator.
По словам исследователей, признаки заражения шпионскими программами содержатся в системном логе Shutdown.log. Он хранится в архиве диагностики любого устройства Apple. Лог включает информацию о каждой перезагрузке и в нем можно увидеть аномалии, связанные с Pegasus и другими шпионскими программами. Таким образом, если регулярно перезагружать устройство, можно обнаружить вредоносное ПО.
В числе найденных аномалий оказались зависшие из-за процессов Pegasus программы и службы, мешающие перезагрузке, и прочие следы, указывающие на заражение системы. После анализа разных случаев заражения, оказалось, что, стандартным путем заражения шпионским вирусом, является /private/var/db/.
Эксперты ЛК написали несколько Python3-скриптов, используя которые можно извлечь и проанализировать лог Shutdown.log. Они также позволяют обнаружить аномалии, указывающие на активность вредоносов, задержки, внештатные перезагрузки и необычные пути файлов. Через скрипты можно преобразовать лог в формат CSV и сгенерировать сводку по всем зафиксированным процессам.
Утилита со скриптами для обнаружения шпионского ПО уже опубликована на GitHub. “Лаборатория Касперского” призывает пользователей помочь им в обнаружении интересных образцов шпионских и вирусных программ. Свои логи ЛК предлагает отправлять на их почтовый адрес (intelreports@kaspersky.com). Никакой личной информации логи не содержат, поэтому их можно безопасно передавать для анализа.