El Malware Pegaus es uno de los que más en boga está en los últimos meses. En este sentido, el Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha desarrollado un nuevo método para detectar indicadores de infección de spyware en iOS, como Pegasus, Reign y Predator mediante una herramienta de autocomprobación.
Los expertos de Kaspersky descubrieron que las infecciones causadas por Pegasus dejan rastros en el registro del sistema, Shutdown.log, almacenado en el archivo sysdiagnose de cualquier dispositivo móvil iOS. Este archivo guarda información de cada reinicio de sesión, por lo que, si un usuario con esta infección en el sistema reinicia su dispositivo, las anomalías asociadas al malware Pegasus permanecen en el registro. Además, se identificaron casos que impedían el reinicio del equipo, especialmente los relacionados con Pegasus, junto con rastros de infección descubiertos por las observaciones de la comunidad de ciberseguridad.
“El análisis de sysdiag es mínimamente intrusivo y consume pocos recursos, apoyándose en herramientas del sistema para identificar posibles infecciones del iPhone”, señala Maher Yamout, analista jefe de Seguridad en el GReAT de Kaspersky.
Al analizar el archivo Shutdown.log en las infecciones de Pegasus, los expertos de Kaspersky observaron una ruta de infección común, concretamente /private/var/db/, reflejada en infecciones causadas por otros malware para iOS, como Reign y Predator. Los analistas de la compañía sugieren que este archivo de registro tiene potencial para identificar infecciones relacionadas con estas familias de malware.
Para facilitar la búsqueda de infecciones de spyware, los expertos de Kaspersky han desarrollado una herramienta de autocomprobación disponible para los usuarios. Los scripts Python3 facilitan la extracción, el análisis y el estudio sintáctico de Shutdown.log, el cual se comparte públicamente en GitHub y está disponible para macOS, Windows y Linux.
Para mantenerse protegido de este tipo de ataques, los expertos de Kaspersky recomiendan:
- Reinicia diariamente. Según una investigación de Amnistía Internacional y Citizen Lab, Pegasus realiza a menudo ataques de día cero. Los reinicios del sistema diarios y regulares pueden ayudar a limpiar el dispositivo, de tal manera que los atacantes tendrían que volver a infectarlo, aumentando así las posibilidades de detección con el tiempo.
- Lockdown. Varios informes respaldan el éxito del modo lockdown de Apple para evitar la infección de malware de iOS.
- Desactiva iMessage y Facetime. La aplicación iMessage, activada por defecto, es una vía de entrada para los ciberdelincuentes. Deshabilitarla reduce el riesgo de ser víctima de ataques click 0. El mismo consejo se aplica a Facetime.
- Mantén el dispositivo actualizado. Instala las últimas actualizaciones de iOS cuanto antes, ya que muchos kits de explotación de iOS se centran en este aspecto. Las actualizaciones rápidas son cruciales para adelantarse a algunos atacantes que pueden aprovecharse de los retrasos en las actualizaciones.
- Ten cuidado con los enlaces. Evita acceder a links recibidos a través de mensajes recibidos por SMS, email y cualquier otra aplicación.
- Comprueba regularmente las copias de seguridad y los sysdiags. Procesar las copias de seguridad cifradas y los archivos sysdiagnose con MVT y las herramientas de Kaspersky puede ayudar a detectar el malware de iOS.