Kaspersky komt met hulpprogramma om Pegasus-spyware te detecteren
Onderzoekers van Kaspersky hebben een nieuwe methode ontwikkeld om geavanceerde iOS-spyware, zoals Pegasus en de nieuwere bedreigingen Reign en Predator, te detecteren. De securityspecialist brengt tegelijk een ‘zelfcontroletool’ voor gebruikers uit.
De onderzoekers ontdekten dat Pegasus infectiesporen achterlaat in het systeemlogboek, Shutdown.log, dat wordt opgeslagen in het sysdiagnose-archief van elk mobiel iOS-apparaat. Dit archief bewaart informatie van elke herstartsessie. Dat betekent dat afwijkingen die verband houden met de Pegasus-malware zichtbaar worden in het logboek wanneer een geïnfecteerde gebruiker zijn apparaat opnieuw opstart.
Gemeenschappelijk infectiepad
Onder de geïdentificeerde processen waren gevallen die het opnieuw opstarten belemmerden, met name diegene die gekoppeld waren aan Pegasus. Voor Kaspersky redenen genoeg om dit logboek onderdeel te maken van een allesomvattende aanpak om iOS-malware-infecties te onderzoeken. ‘We geloven dat het een betrouwbaar forensisch artefact is bij de analyse van infecties’, zegt Maher Yamout, Lead Security Researcher bij Kaspersky’s GReAT.
Bij de analyse van het Shutdown.log in Pegasus-infecties zagen de experts een gemeenschappelijk infectiepad dat ook wordt aangetroffen bij besmettingen door andere iOS-malware, zoals Reign en Predator. Daardoor heeft het logbestand volgens de researchers het potentieel om infecties te identificeren die gerelateerd zijn aan deze malwarefamilies.
Controletool
Om de zoektocht naar spyware-infecties te vergemakkelijken, ontwikkelden Kaspersky-experts ook een hulpprogramma waarmee (gevorderde) gebruikers zelf een controle kunnen uitvoeren. Het gaat om een set Python3-scripts die de extractie, analyse en parsing van het Shutdown.log vergemakkelijken. Het hulpprogramma is gratis te downloaden op GitHub en is beschikbaar voor macOS, Windows en Linux.
Fout opgemerkt of meer nieuws? Meld het hier