Kaspersky ha scoperto la nuova tecnica iShutdown per il rilevamento di spyware iOS sofisticati come Pegasus.
Intanto, ha tolto i veli a nuove minacce simili come Reign e Predator, che consentono ai cyber criminali il controllo in autonomia dei propri dispositivi.
“La tecnica messa a punto da Kaspersky”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è molto semplice quanto efficace ed è frutto di intuizioni e profonde analisi di un gran numero di casi di infezione relativi ai principali spyware per sistemi Apple”.
“I log come indice di compromissione non sono una novità”, avverte Paolo Dal Checco, informatico forense, invece è interessante “l’idea secondo cui, invece di cercare la presenza del malware nei file o programmi contenuti in un dispositivo può essere più efficiente cercarne le tracce lasciate nello storico delle attività di sistema”. Ecco come proteggersi.
Indice degli argomenti
Spyware Pegasus: la nuova tecnica di rilevamento iShutdown
Gli esperti dell’azienda hanno rilevato che le tracce del contagio di Pegasus si trovano nel log di sistema Shutdown.log. La memorizzazione avviene in ciascun archivio “sysdiagnose” prodotto su un ogni device mobile iOS.
“Merito degli esperti aver individuato degli elementi comuni a compromissioni mediante spyware estremamente sofisticati e noti per essere molto evasivi grazie all’impiego di zero-day exploit”, sottolinea Paganini: “Rispetto ad altre tecniche, iShutdown ha il vantaggio di essere poco dispendiosa in termini di tempi di esecuzione“.
Questo archivio infatti offre il vantaggio di conservare le informazioni di ciascuna sessione di riavvio, così evidenziando le anomalie legate al malware Pegasus, messe in risalto nel “log” se un utente infetto riavvia il proprio dispositivo.
“Le informazioni diagnostiche sulle app, la descrizione dei crash, del contesto in cui sono avvenuti e del motivo per cui si sono verificati errori, le informazioni di sistema come utilizzo batteria, traffico di rete eccetera sono tutti elementi collaterali alle app“, spiega Dal Checco, “ma che permettono di identificare quelle potenzialmente dannose che, ovviamente, tendono a nascondersi e non farsi trovare“.
In questo modo, Kaspersky ha scoperto altri casi di processi che impediscono i riavvii, in particolare quelli associati a Pegasus, insieme a tracce di infezione emerse dalle analisi pubbliche della comunità di cyber security.
“Questa nuova scoperta”, mette in evidenza Dal Checco, “si va ad aggiungere alla raccolta di strumenti contenuti nel Mobile Verification Toolkit (MVT) sviluppata e rilasciata dall’Amnesty International Security Lab nel luglio 2021, in grado anch’esso di rilevare diverse compromissioni anche importanti analizzando vari artefatti di uno smartphone a partire dal backup o dalle informazioni diagnostiche che si possono estrarre anche in modalità live dai dispositivi, senza bisogno di procedere con attività di copia forense tramite tecniche di mobile forensics”.
I dettagli della tecnica iShutdown
L’analisi del file Shutdown.log nelle infezioni da Pegasus ha permesso di osservare un “path” più frequente nel corso delle infezioni, ovvero “/private/var/db/”, che riflette i “path” che appaiono nelle infezioni frutto di altri malware iOS, come Reign e Predator.
Secondo Kaspersky, questo file di log potenzialmente potrebbe individuare le infezioni correlate a queste famiglie di malware.
“L’analisi del dump di ‘sysdiag’ si è dimostrata essere poco intrusiva e poco dispendiosa in termini di risorse, basandosi su artefatti di sistema per identificare potenziali infezioni dell’iPhone. Dopo aver ricevuto la segnalazione di infezione da questo registro e confermato l’infezione utilizzando l’elaborazione di dati artefatti iOS da parte di Mobile Verification Toolkit (MTV), questo registro diventa ora parte di un approccio olistico per indagare sulle infezioni da malware iOS. Poiché abbiamo confermato la consistenza di questo comportamento con le altre infezioni di Pegasus che abbiamo analizzato, crediamo che servirà come artefatto forense affidabile per supportare l’analisi dell’infezione”, spiega Maher Yamout, Lead Security Researcher di Kaspersky’s GReAT.
“Proprio in ambito di perizie informatiche sugli smartphone”, conferma Dal Checco, “ha avuto sempre più importanza l’archivio sysdiagnose, su cui si basa lo strumento sviluppato da Kaspersky, perché è in sostanza una raccolta di dati di sistema che chiunque è in grado di estrarre dal proprio smartphone, senza peraltro l’ausilio di strumenti esterni. Ovviamente MVT e iShutdown possono aiutare anche nella generazione ed estrazione del contenitore compresso di log sysdiagnose, così come strumenti consolidati quali libimobiledevice, ma rimane sempre la possibilità per gli utenti di farlo generare autonomamente dal proprio dispositivo e poi estrarlo copiandolo con qualunque metodo di comunicazione”.
L’utility di autoverifica per gli utenti di Kaspersky è disponibile pubblicamente su GitHub e disponibile per MacOS, Windows e Linux.
“Apple stessa illustra nei suoi tutorial come richiedere al proprio iPhone o iPad di raccogliere i log di sistema e generare un archivio compresso sysdiagnose che possa essere poi scaricato e analizzato per diagnosticare problemi”, entra nei dettagli Paolo Dal Checco: “I log prodotti infatti possono essere organizzati in una timeline e confrontati con gli eventi anomali occorsi sul sistema, per valutare la possibilità di comprenderne le ragioni. Oltre che di diagnostica in caso di problemi alle App, ovviamente nel sysdiagnose si possono trovare informazioni circa attività anomale e permettere quindi potenzialmente di rilevare malware, come Pegasus, che Kasperky ha effettivamente scoperto lasciare delle tracce durante lo spegnimento del dispositivo nel file Shutdown.log”.
Come proteggersi dagli spyware su iOS
Per mitigare il rischio di spyware avanzati su iOS, i riavvii quotidiani regolari possono aiutare a pulire il dispositivo.
La nuova modalità di isolamento di Apple funziona nel fermare l’infezione di malware iOS.
Disabilitando iMessage e Facetime, si riduce inoltre il rischio di essere vittime di catene zero-click.
Infine occorre mantenere il dispositivo aggiornato, prestare massima attenzione ai link ed effettuare un controllo regolare di backup e sysdiag.
“Spesso per arrivare a tali conclusioni i ricercatori devono analizzare decine di dispositivi compromessi e confrontarli con dispositivi non compromessi, sia in termini di contenuto del filesystem – operando quindi molteplici acquisizioni forensi, se possibile in modalità physical o full file system – sia in termini di log lasciati dalle applicazioni – quindi attivando più volte i log sysdiagnose e confrontandoli in momenti diversi e su dispositivi infetti e non infetti”, conclude Dal Checco: “Il risultato di tali analisi è quello di evidenziare anomalie che possono indicare la presenza di malware o, talvolta, essere soltanto falsi positivi e portare poi a ulteriori analisi che ne smarchino la positività“.
In futuro, “innanzitutto, la medesima tecnica potrebbe essere utilizzata anche per confutare l’analisi delle evidenze emerse in investigazioni passate e far emergere nuove informazioni”, avverte Paganini: “Tuttavia la conoscenza della tecnica indurrà gli sviluppatori di software di sorveglianza a creare nuove tecniche per eludere iShutdown“.
