Gli esperti di Kaspersky hanno pubblicato tre script Python, denominati iShutdown, che permettono di rilevare tracce degli spyware per iOS, tra cui i famigerati Pegasus, Predator e Reign, analizzando un log di sistema. Si tratta quindi di un tool che potrebbe essere sfruttato come alternativa ai metodi forensi più lunghi, complessi e costosi.
Necessari frequenti riavvii dell’iPhone
Considerato che iOS è un sistema chiuso, i ricercatori di sicurezza possono analizzare un’infezione solo esaminando un backup completo (cifrato) o il traffico di rete. Entrambi i metodi sono piuttosto complessi, lunghi e costosi. Gli esperti di Kaspersky hanno scoperto che gli spyware lasciano tracce nel file Shutdown.log, quindi l’analisi forense è accessibile (quasi) a tutti.
Il suddetto file viene creato e aggiornato ad ogni riavvio dello smartphone. Nel file di testo sono elencati tutti i processi con relativo PID e percorso nel filesystem che vengono terminati ad ogni reboot e quelli che rallentano o impediscono l’operazione. Questi log sono presenti nell’archivio tar.gz Sysdiagnose che può avere una dimensione compresa tra 200 e 400 MB.
Quando l’iPhone viene riavviato, nel file vengono scritti anche i processi associati agli spyware. È possibile quindi avere la conferma dell’infezione. Gli script Python, disponibili su GitHub, sono tre: iShutdown_detect.py (analizza l’archivio Sysdiagnose e rileva le anomalie), iShutdown_parse.py (estrae il file di log dall’archivio) e iShutdown_stats.py (estrae le statistiche relativi ai riavvii).
Purtroppo, il tool funziona solo se l’utente effettua riavvii frequenti dello smartphone, altrimenti nel file di log non viene scritto nulla. I ricercatori sottolineano inoltre che questo metodo non permette di individuare tutti i malware.
Ti potrebbe interessare
19 gen 2024