I ricercatori di sicurezza informatica hanno identificato un “metodo leggero” chiamato iShutdown per identificare in modo affidabile segni di spyware su dispositivi Apple iOS, comprese minacce abbastanza note nel mondo della sicurezza informatica come Pegasus del gruppo NSO, Reign di QuaDream e Predator di Intellexa.
Come funziona il metodo per iPhone chiamato iShutdown
Kaspersky, che ha analizzato un insieme di iPhone compromessi da Pegasus, ha dichiarato che le infezioni lasciano tracce in un file chiamato “Shutdown.log” (da qui il nome iShutdown), un file di registro di sistema basato su testo disponibile su tutti i dispositivi iOS e che registra ogni evento di riavvio insieme alle sue caratteristiche ambientali.
“Rispetto a metodi di acquisizione più dispendiosi in termini di tempo come l’immagine forense del dispositivo o un backup completo di iOS, il recupero del file Shutdown.log è piuttosto semplice“, ha detto il ricercatore di sicurezza Maher Yamout. “Il file di registro è archiviato in un archivio sysdiagnose (sysdiag).”
La società di sicurezza informatica della Confederazione Russa ha affermato di aver identificato voci nel file di registro che registravano casi in cui processi “appiccicosi”, come quelli associati allo spyware, causavano un ritardo nel riavvio, in alcuni casi osservando processi correlati a Pegasus in più di quattro avvisi di ritardo al riavvio.
Inoltre, l’indagine ha rivelato la presenza di un percorso del file system simile utilizzato da tutte e tre le famiglie di spyware – “/private/var/db/” per Pegasus e Reign e “/private/var/tmp/” per Predator – agendo quindi come un indicatore di compromissione.
Detto questo, il successo di questo approccio dipende da una condizione: che l’utente, in quanto esso stesso bersaglio, riavvii il proprio dispositivo il più spesso possibile, la frequenza della quale varia in base al loro profilo di minaccia.
Kaspersky ha anche pubblicato una raccolta di script Python per estrarre, analizzare e analizzare il file Shutdown.log al fine di ottenere le statistiche di riavvio.
“La natura leggera di questo metodo lo rende facilmente disponibile e accessibile“, ha detto Yamout. “Inoltre, questo file di registro può conservare voci per diversi anni, rendendolo un prezioso artefatto forense per analizzare e identificare voci di registro anomale.”
La divulgazione avviene mentre SentinelOne ha rivelato che i furti di informazioni mirati a macOS, come KeySteal, Atomic e JaskaGo (conosciuto anche con i nomi “CherryPie” o “Gary Stealer”), si stanno adattando rapidamente per eludere la tecnologia antivirus integrata di Apple chiamata XProtect.
“Nonostante gli sforzi solidi da parte di Apple per aggiornare il suo database di firme XProtect, queste varianti di malware in rapida evoluzione continuano a eludere“, ha detto il ricercatore di sicurezza Phil Stokes. “Fidarsi unicamente della rilevazione basata su firme è insufficiente, poiché i criminali informatici hanno i mezzi e il motivo per adattarsi velocemente.”
In caso il danno fosse già fatto
In casi normali avrei scritto “usa Malwarebytes e lo rileva di sicuro“, peccato che (almeno ufficialmente) Malwarebytes non è disponibile in Italia su Apple Store; l’unica cosa da fare in questo caso è cercare qualche alternativa Antivirus valida per iPhone/iPad; questo a prescindere però dal metodo iShutdown, perché una cosa, per forza di cose, non ne esclude un’altra.