«Կասպերսկի»-ն iPhone-ում Pegasus լրտեսական ծրագրի հայտնաբերման նոր մեթոդ է մշակել
«Կասպերսկի» ընկերության Սպառնալիքների հետազոտությունների և վերլուծության գլոբալ կենտրոնի (GReAT) փորձագետները ստեղծել են նոր մեթոդ՝ iOS-ով սարքերի այնպիսի բարդ լրտեսող ԾԱ-ով վարակման ցուցիչների հայտնաբերման համար, ինչպիսիք են Pegasus-ը, Reign-ը և Predator-ը:
Ընկերությունը հայտնում է, որ մասնագետները մշակել են մի պարզ գործիք՝ Shutdown.log-ում նախկինում անհայտ հետքերը գտնելու համար, որպեսզի օգտատերերն ինքնուրույն ստուգեն իրենց iPhone սարքերը:
«Կասպերսկի»-ի հետազոտողները Pegasus-ով վարակման նոր նշաններ են հայտնաբերել համակարգային Shutdown.log-ում, որը պահվում է iOS-ով ցանկացած մոբայլ սարքի համակարգի ախտորոշման արխիվում: Այս արխիվը պարունակում է տեղեկատվություն վերագործարկման յուրաքանչյուր սեսիայի մասին: Սա նշանակում է, որ Pegasus վնասաբեր ԾԱ-ի հետ կապված անոմալիաները արտացոլվում են լոգում, եթե վարակված սարքի սեփականատերը պարբերաբար վերագործարկում է այն:
Հայտնաբերված անոմալիաների թվում եղել են այն «կախված» գործընթացների մասին գրանցումները, որոնք խանգարել են վերագործարկմանը և կապված են եղել Pegasus-ի հետ, ինչպես նաև վարակի այլ հետքեր, որոնք հայտնաբերվել են կիբեռանվտանգության համայնքի այլ անդամների կողմից:
«Վերլուծության ծրագիրը թույլ է տալիս ուսումնասիրել համակարգի արտեֆակտները և նվազագույն ջանքերով, գրեթե առանց ռեսուրսներ պահանջելու հայտնաբերել iPhone-ի հավանական վարակը: Լոգում ցուցիչների վերլուծության վրա հիմնված մեր մեթոդով հայտնաբերված վարակը հաստատվել է Mobile Verification Toolkit-ի (MVT) օգնությամբ iOS-ի այլ արտեֆակտների մշակման միջոցով: Համապատասխանաբար, մեր մոտեցումը դառնում է iOS-ի վարակների հետազոտման ամբողջական մոտեցման մի մասը:
Ավելին՝ մենք հաստատել ենք այս վարքագծի հետևողականությունը Pegasus-ի այլ վարակումներում, որոնք մենք վերլուծել ենք, և կարծում ենք, որ դա կծառայի որպես վարակի գործընթացի հետագա ուսումնասիրության հուսալի արտեֆակտ», – մեկնաբանում է «Կասպերսկի»-ի Սպառնալիքների հետազոտությունների և վերլուծության գլոբալ կենտրոնի ղեկավար Իգոր Կուզնեցովը:
Վերլուծելով Shutdown.log-ը Pegasus-ի միջադեպերում՝ «Կասպերսկի»-ի փորձագետները տեսել են վարակման ստանդարտ ուղիներ, այն է՝ «/private/var/db/», որոնք նման են այն ուղիներին, որոնք հայտնաբերվել են iOS-ի այլ վնասաբեր ծրագրերով, ինչպիսիք են Reign-ը և Predator-ը, վարակվելու դեպքում։ Ընկերության մասնագետները ենթադրում են, որ այդ լոգ-ֆայլը կօգնի բացահայտել վարակումները, որոնք կապված են նաև վնասակար ծրագրերի այդ ընտանիքների հետ:
Սարքերում լրտեսող ԾԱ-ի որոնումը հեշտացնելու համար «Կասպերսկի» ընկերության փորձագետները մշակել են հատուկ օգտակար ծրագիր, որը դյուրացնում է Shutdown.log արտեֆակտների հայտնաբերումը, վերլուծությունն ու փարսինգը:
iOS-ի համար նախատեսված լրտեսող ԾԱ-ն, ինչպիսին Pegasus-ն է, առանձնանում է բարդության բարձր մակարդակով։ «Կասպերսկի»-ի փորձագետների խորհուրդներն այն մասին, թե ինչպես կարելի է սարքերը պաշտպանել նման վնասաբեր ծրագրերից, հասանելի են այստեղ.։
Բարդ լրտեսող ԾԱ-ով iOS-ով սարքերի վարակվածության ցուցիչների հայտնաբերման նոր մեթոդների մասին ավելի մանրամասն տեղեկատվությանը կարելի է ծանոթանալ այս հղմամբ։