L’équipe mondiale de recherche et d’analyse de Kaspersky (GReAT) a développé une méthode de détection rapide des indicateurs d’infection par les logiciels espions iOS sophistiqués tels que Pegasus, Reign et Predator en analysant Shutdown.log, un artefact d’informatique légale jusqu’alors inexploré.

Les experts de l’entreprise ont découvert que les infections causées par Pegasus laissent des traces dans le journal Shutdown.log, stocké dans l’archive sysdiagnose de tout appareil mobile iOS. Cette archive conserve les informations de chaque session de redémarrage, ce qui signifie que les anomalies associées au logiciel malveillant Pegasus deviennent apparentes dans le journal si un utilisateur infecté redémarre son appareil.

Parmi les anomalies identifiées figurent des cas de processus « persistants » empêchant les redémarrages, notamment associé à Pegasus, ainsi que des traces d’infection observées par différents spécialistes cyber.

« L’analyse du dump du fichier sysdiag s’avère peu intrusive, et demande peu de ressources, puisqu’elle s’appuie sur des éléments du système pour identifier les infections potentielles de l’iPhone. Ayant reçu l’indicateur de problème de sécurité dans ce journal et confirmé l’infection en utilisant les processus Mobile Verification Toolkit (MVT) d’autres artefacts iOS, l’analyse de ce journal fait maintenant partie intégrante des enquêtes portant sur les logiciels malveillants iOS, et nous pensons qu’il servira d’artefact d’informatique légale fiable pour étayer l’analyse de l’infection », commente Maher Yamout, chercheur principal en sécurité au GReAT de Kaspersky.

En analysant le fichier Shutdown.log dans les infections Pegasus, les experts de Kaspersky ont observé un chemin d’infection commun, en particulier "/private/var/db/", reflétant les chemins observés dans les infections causées par d’autres logiciels malveillants iOS tels que Reign et Predator. Les chercheurs de l’entreprise suggèrent que ce fichier pourrait permettre d’identifier les infections liées à ces familles de logiciels malveillants.

Pour faciliter la recherche d’infections par des logiciels espions, les experts de Kaspersky ont développé un programme d’auto-vérification pour les utilisateurs. Les scripts Python3 facilitent l’extraction, l’analyse et le traitement de l’artefact Shutdown.log. L’outil est partagé publiquement sur GitHub et disponible pour macOS, Windows et Linux.

Les logiciels espions pour iOS, tels que Pegasus, sont très sophistiqués. Bien que la communauté cyber ne puisse pas toujours empêcher la réussite de leur mise en œuvre, les utilisateurs peuvent prendre des mesures pour rendre la tâche difficile aux attaquants. Pour se prémunir contre les logiciels espions avancés sur iOS, les experts de Kaspersky recommandent ce qui suit :
• Redémarrez quotidiennement : Selon les recherches d’Amnesty International et de Citizen Lab, Pegasus s’appuie souvent sur des exploits zéro-clic sans persistance. Des redémarrages quotidiens peuvent aider à nettoyer le cache de l’appareil, ce qui oblige les attaquants à réinfecter à plusieurs reprises, augmentant ainsi les chances d’être détectés au fil du temps.
• Mode verrouillage : Plusieurs rapports publics ont fait état de l’efficacité du nouveau mode de verrouillage d’Apple pour bloquer les infections par des logiciels malveillants sur iOS.
• Désactivez iMessage et Facetime : iMessage, activé par défaut, est un vecteur d’exploitation attrayant. Le fait de le désactiver réduit le risque d’être victime de chaînes zéro-clic. Le même conseil s’applique à Facetime, autre vecteur potentiel d’exploitation.
• Maintenez votre appareil à jour : Installez rapidement les derniers correctifs iOS, car de nombreux kits d’exploitation iOS ciblent des vulnérabilités déjà corrigées. Des mises à jour rapides sont essentielles pour garder une longueur d’avance sur certains attaquants nationaux qui peuvent exploiter des mises à jour retardées.
• Soyez prudent avec les liens : Évitez de cliquer sur les liens reçus dans les messages, car les clients de Pegasus peuvent avoir recours à des exploits en un clic diffusés par SMS, d’autres messageries ou des courriels.
• Vérifiez régulièrement les sauvegardes et les fichiers Sysdiags : Le traitement des sauvegardes cryptées et des archives Sysdiagnose à l’aide des outils MVT et Kaspersky peut aider à détecter les logiciels malveillants iOS.
En intégrant ces pratiques à leur routine, les utilisateurs peuvent renforcer leurs défenses contre les logiciels espions iOS avancés et réduire le risque d’attaques réussies.