iShutdown: tool che rileva spyware per iOS

iShutdown: tool che rileva spyware per iOS

Analizzando un file di log è possibile trovare traccia degli spyware più noti, come Pegasus e Predator, ma l'utente deve riavviare spesso l'iPhone.
iShutdown: tool che rileva spyware per iOS
Analizzando un file di log è possibile trovare traccia degli spyware più noti, come Pegasus e Predator, ma l'utente deve riavviare spesso l'iPhone.

Gli esperti di Kaspersky hanno pubblicato tre script Python, denominati iShutdown, che permettono di rilevare tracce degli spyware per iOS, tra cui i famigerati Pegasus, Predator e Reign, analizzando un log di sistema. Si tratta quindi di un tool che potrebbe essere sfruttato come alternativa ai metodi forensi più lunghi, complessi e costosi.

Necessari frequenti riavvii dell’iPhone

Considerato che iOS è un sistema chiuso, i ricercatori di sicurezza possono analizzare un’infezione solo esaminando un backup completo (cifrato) o il traffico di rete. Entrambi i metodi sono piuttosto complessi, lunghi e costosi. Gli esperti di Kaspersky hanno scoperto che gli spyware lasciano tracce nel file Shutdown.log, quindi l’analisi forense è accessibile (quasi) a tutti.

Il suddetto file viene creato e aggiornato ad ogni riavvio dello smartphone. Nel file di testo sono elencati tutti i processi con relativo PID e percorso nel filesystem che vengono terminati ad ogni reboot e quelli che rallentano o impediscono l’operazione. Questi log sono presenti nell’archivio tar.gz Sysdiagnose che può avere una dimensione compresa tra 200 e 400 MB.

Quando l’iPhone viene riavviato, nel file vengono scritti anche i processi associati agli spyware. È possibile quindi avere la conferma dell’infezione. Gli script Python, disponibili su GitHub, sono tre: iShutdown_detect.py (analizza l’archivio Sysdiagnose e rileva le anomalie), iShutdown_parse.py (estrae il file di log dall’archivio) e iShutdown_stats.py (estrae le statistiche relativi ai riavvii).

Purtroppo, il tool funziona solo se l’utente effettua riavvii frequenti dello smartphone, altrimenti nel file di log non viene scritto nulla. I ricercatori sottolineano inoltre che questo metodo non permette di individuare tutti i malware.

Fonte: Kaspersky
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 19 gen 2024
Link copiato negli appunti