Des chercheurs de Kaspersky ont développé une nouvelle méthode permettant de détecter les logiciels espions iOS sophistiqués tels que Pegasus et les nouvelles menaces Reign et Predator. Le spécialiste de la sécurité propose également un ‘outil d’auto-contrôle’ pour les utilisateurs.
Les chercheurs ont découvert que Pegasus laisse des traces d’infection dans le journal-système, Shutdown.log, qui est stocké dans l’archive sysdiagnosis de chaque appareil mobile iOS. Cette archive conserve les informations de chaque session de redémarrage. Cela signifie que les anomalies liées au malware Pegasus sont visibles dans le journal, lorsqu’un utilisateur infecté redémarre son appareil.
Trajet d’infection commun
Parmi les processus identifiés figuraient des cas ayant entravé le redémarrage, notamment ceux liés à Pegasus. Des raisons suffisantes pour Kaspersky d’intégrer ce journal à une approche exhaustive en vue d’examiner les infections par des logiciels malveillants iOS. ‘Nous croyons qu’il s’agit d’un artefact médico-légal fiable dans l’analyse des infections’, déclare Maher Yamout, Lead Security Researcher chez GReAT de Kaspersky.
Lors de l’analyse du fichier Shutdown.log dans les infections Pegasus, les experts ont observé un trajet d’infection commun que l’on retrouve également dans les infections causées par d’autres logiciels malveillants iOS, tels que Reign et Predator. En conséquence, selon les chercheurs, le fichier journal a le potentiel pour identifier les infections liées à ces familles de logiciels malveillants
Outil de contrôle
Pour faciliter la recherche d’infections par des logiciels espions, les experts de Kaspersky ont également développé un utilitaire qui permet aux utilisateurs (chevronnés) d’effectuer eux-mêmes un contrôle. Il s’agit d’un ensemble de scripts Python3 facilitant l’extraction, l’analyse et le ‘parsing’ du Shutdown.log. L’utilitaire est téléchargeable gratuitement sur GitHub et est disponible pour macOS, Windows et Linux.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici