卡巴斯基的研究人员揭示了一种新的轻量级方法,用于检测高级iOS间谍软件,如Pegasus,以及新的类似Pegasus的威胁Reign和Predator,并为用户创建了自检工具。
卡巴斯基的全球研究与分析团队(GReAT)开发出一种轻量级方法,通过分析先前未被关注的取证工件Shutdown.log,来检测像Pegasus、Reign和Predator等复杂iOS间谍软件的感染迹象。
该公司的专家发现,Pegasus感染会在系统日志Shutdown.log中留下痕迹,该日志存储在任何移动iOS设备的sysdiagnose存档中。该存档保留了每次重新启动会话的信息,这意味着如果受感染的用户重新启动他们的设备,与Pegasus恶意软件相关的异常将在日志中显现。
其中一些被识别出来的是阻碍重新启动的“粘性”进程,特别是与Pegasus相关的进程,还有通过网络安全社区观察发现的感染痕迹。