Новый метод обнаружения заражения iOS-устройств сложным шпионским ПО, таким, как Pegasus, Reign и Predator, создали эксперты Глобального центра исследований и анализа угроз (GReAT), сообщает «Лаборатория Касперского» во вторник.
В компании отмечают, что разработанный специалистами инструмент несложен в применении и позволяет пользователю самостоятельно проверить свой iPhone.
Напомним, Pegasus – продукт разработчика шпионского ПО, израильской компании NSO Group. Будучи внедрённым в смартфон жертвы, предоставляет доступ к содержимому памяти устройства, а также к камере с микрофоном, что позволяет вести эффективную слежку за объектами шпионажа. Разработчик утверждает, что Pegasus продаётся только правительствам. Возможно, это так, но о том, как контролируется дальнейшее распространение Pegasus, сообщений нет.
Как говорится в сообщении, инструмент «Лаборатории Касперского» ищет ранее неизвестные следы заражения Pegasus в системном логе shutdown.log, хранящемся в архиве системной диагностики любого мобильного устройства на iOS.
В этом архиве содержится информация о каждой сессии перезагрузки. Это означает, что аномалии, вызывающие подозрение на заражение Pegasus, проявляются в логе, если владелец заражённого устройства регулярно перезагружает его.
Среди обнаруженных аномалий были связанные с Pegasus записи о «зависших» процессах, мешающих перезагрузке, а также другие следы заражения, выявленные не только ЛК, но и другими участниками ИБ-сообщества.
Подробнее об индикаторах заражения устройств на iOS сложным шпионским ПО >>>
Проанализировав shutdown.log в инцидентах, связанных с Pegasus, эксперты «Лаборатории Касперского» увидели стандартные пути заражения, а именно “/private/var/db/”, аналогичные путям, которые были выявлены в заражениях iOS другим вредоносным ПО, таким как Reign и Predator.
Шпионское ПО для iOS отличается высокой сложностью. Чтобы обезопасить устройства от подобных зловредов, эксперты ЛК рекомендуют следующее.
- Ежедневно перезагружать устройство. По данным Amnesty International и Citizen Lab, Pegasus часто использует уязвимости нулевого дня. Ежедневная перезагрузка может помочь очистить память устройства, и в результате злоумышленникам придётся неоднократно проводить повторное заражение, что увеличивает шансы на обнаружение заразы.
- Включить режим Lockdown. Уже есть публичные отчёты об успешном использовании недавно добавленного Apple режима экстремальной защиты от целенаправленных кибератак.
- Отключить iMessage и Facetime. Злоумышленники могут эксплуатировать эти функции, включаемые по умолчанию. Если их отключить, риск стать жертвой цепочек атак с нулевым кликом значительно снижается.
- Регулярно обновлять ПО устройства. Устанавливать патчи для iOS сразу после их выпуска, поскольку многие наборы эксплойтов для iOS используют уязвимости, для которых уже есть исправления. Быстро обновлять устройство очень важно для того, чтобы опередить злоумышленников.
- Регулярно проверять бэкапы и проводить системную диагностику.