Kaspersky, Pegasus iOS casus yazılımı tespitinde yeni yöntem buldu

17 Ocak 2024 11:55

İSTANBUL (AA) – Kaspersky, Pegasus iOS casus yazılımını tespit etmek için yeni bir yöntem keşfettiğini duyurdu.

Şirketten yapılan açıklamaya göre, Kaspersky araştırmacıları, "Pegasus" ve benzeri yeni tehditler "Reign ve Predator" gibi sofistike iOS casus yazılımlarını tespit etmek için yeni bir yöntem bulurken, kullanıcılar için kontrol aracı oluşturdu.

Kaspersky'nin Global Araştırma ve Analiz Ekibi (GReAT), daha önce keşfedilmemiş bir adli tıp vakası olan "Shutdown.log"u analiz ettiği sırada bu keşfe imza attı.

Kaspersky uzmanları, Pegasus enfeksiyonlarının, herhangi bir mobil iOS cihazının "sysdiagnose" arşivinde saklanan Shutdown.log adlı sistem günlüğünde beklenmedik izler bıraktığını keşfetti. Bu arşiv, her yeniden başlatma sırasında oturum bilgilerini saklıyor. Kullanıcı, virüs bulaşan cihazını yeniden başlattığında Pegasus kötü amaçlı yazılımıyla ilişkili anomaliler, günlük kaydında görünür hale geliyor.

Yapılan tespitler arasında, özellikle Pegasus ile bağlantılı olanlar olmak üzere, yeniden başlatmayı engelleyen "yapışkan" süreçlerin yanı sıra siber güvenlik topluluğunun gözlemleri yoluyla keşfedilen enfeksiyon izleri de yer alıyor.

Açıklamada görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırmaları Lideri Maher Yamout, şunları kaydetti:

"Sysdiag döküm analizi, potansiyel iPhone enfeksiyonlarını tanımlamak için sistem tabanlı kalıntılara dayanarak, minimum düzeyde müdahaleci ve kaynak kullanımı açısından hafif olduğunu kanıtlıyor. Günlükteki bulaşma göstergesini aldıktan ve Mobile Verification Toolkit'i (MVT) diğer iOS araçlarını kullanarak bulaşmayı doğruladıktan sonra günlük kayıtları, iOS kötü amaçlı yazılım bulaşmalarını araştırmaya yönelik bütünsel yaklaşımın bir parçası haline geldi. Bu davranışın, analiz ettiğimiz diğer Pegasus enfeksiyonlarıyla tutarlılığını keşfetmemiz sayesinde, enfeksiyon analizini desteklemek için güvenilir bir adli kanıt olarak hizmet edeceğine inanıyoruz."

– Uzmanlar "/private/var/db/" olmak üzere ortak bir enfeksiyon yolu gözlemledi

Pegasus enfeksiyonlarındaki Shutdown.log dosyasını inceleyen Kaspersky uzmanları, "Reign" ve "Predator" gibi diğer iOS zararlı yazılımlarının neden olduğu enfeksiyonlarda da görülen, özellikle "/private/var/db/" olmak üzere ortak bir enfeksiyon yolu gözlemledi. Günlük dosyasının, bunun gibi kötü amaçlı yazılım aileleriyle ilgili bulaşmaları da tanımlama potansiyeline sahip olduğuna inanılıyor.

Kaspersky uzmanları, casus yazılım bulaşmalarını anlamayı kolaylaştırmak için bir otomatik kontrol aracı geliştirdi. "Python3" komut dosyaları, Shutdown.log yapıtının çıkarılmasını, analiz edilmesini ve ayrıştırılmasını kolaylaştırıyor. Araç, GitHub'da herkese açık olarak paylaşılıyor ve macOS, Windows ve Linux için kullanılabiliyor.