Spyware iOS: come rilevarli con lo script iShutdown

Le minacce Pegasus, Reign e Predator sono spyware iOS sofisticati progettati nello specifico per monitorare le attività svolte dai possessori di dispositivi Apple, sottraendo loro dati personali e informazioni riservate. Questi componenti dannosi sono stati oggetto di analisi da parte di diverse fonti, tra cui Kaspersky. L’utilizzo degli spyware citati è diventato oggetto di attenzione da parte di aziende e ricercatori nel campo della sicurezza informatica, soprattutto perché si tratta di componenti dannosi sfruttati in attacchi informatici di elevato profilo. L’obiettivo è infatti quello di prendere di mira soggetti specifici, spesso politicamente esposti, così come realtà aziendali di primo piano.

Come evidenziato in altri nostri articoli, i criminali informatici che hanno sviluppato minacce come Pegasus, Reign e Predator spesso restano under-the-radar. Questo significa che utilizzano tecniche per rimanere nell’ombra, dopo l’avvenuta infezione del dispositivo iOS.

Cos’è il file di registro Shutdown.log e perché rivela l’esistenza di infezioni da spyware iOS

Il file Shutdown.log è un file di registro creato sui dispositivi iOS all’interno del quale è annotato ogni evento di riavvio, insieme con diverse caratteristiche dell’ambiente. Il file può contenere informazioni che risalgono a periodi anche piuttosto indietro nel tempo ed è proprio per questo motivo che il suo contenuto rivela ottimi indizi su quanto avviene di sospetto a livello di sistema.

Lo spiegano i ricercatori Kaspersky che osservano come il file Shutdown.log sia stato storicamente ignorato quando invece custodisce informazioni preziose. Gli esperti dell’azienda hanno scoperto che, inaspettatamente, le infezioni provocate dagli spyware citati in apertura lasciano tracce nel log di sistema. Così, eventuali anomalie associate ai malware Pegasus, Reign e Predator diventano evidenti nel “log” nel momento in cui l’utente procede al riavvio di un dispositivo infetto.

Nel registro Shutdown.log sono annotati i riavvii di iOS, insieme con la data e l’ora in cui ciascun processo in esecuzione viene arrestato. Per ciascun processo, il file conserva anche il corrispondente process ID (PID), l’identificativo che consente di accertarne univocamente l’identità.

Come funzionano gli script iShutdown per controllare la presenza degli spyware sui dispositivi Apple

Partendo dall’osservazione del comportamento del file di sistema Shutdown.log, i ricercatori e gli sviluppatori Kaspersky hanno realizzato un insieme di script Python, battezzati iShutdown nel loro complesso, che si occupano di esaminare le tracce lasciate dagli spyware eventualmente in esecuzione sul dispositivo iOS. Gli script sono i seguenti tre:

• iShutdown_detect.py: verifica la presenza di riferimenti anomali nell’archivio compresso in formato TAR Sysdiagnose. Possono essere già questi la spia di un’infezione malware.
• iShutdown_parse.py: estrae dall’archivio Sysdiagnose il file di registro Shutdown.log e lo sottopone ad analisi. L’output fornito dallo script consiste in un file CSV con i riferimenti ai processi sospetti, insieme con i rispettivi hash MD5, SHA1, SHA256.
• iShutdown_stats.py: si occupa di estrarre i dati di riavvio del dispositivo iOS dal file Shutdown.log. Ad esempio il primo e l’ultimo riavvio, il numero di avvii effettuati ogni mese e così via.

Il repository GitHub del progetto iShutdown contiene le indicazioni utili per l’utilizzo degli script Python oltre ad alcuni esempi di output. La presenza del responso Suspicious processes costituisce inequivocabile conferma della presenza di uno spyware. In ogni caso, tutti gli script proposti possono essere eseguiti così come sono invocando python3.

Sebbene la soluzione proposta da Kaspersky sia nata per offrire una risposta alla diffusione degli spyware Pegasus, Reign e Predator, le informazioni contenute nel file di log possono aiutare a far emergere anche nuove famiglie di malware.

Come proteggersi dagli spyware iOS più intelligenti e invasivi

Gli spyware iOS come Pegasus e “soci” sono altamente sofisticati. Sebbene non sia sempre possibile proteggersi, soprattutto nel caso di attacchi mirati, è possibile complicare la vita ai criminali informatici e far emergere le minacce applicando alcune efficaci linee guida.

Molto spesso l’infezione ha gioco facile sfruttando attacchi 0-day e zero-click. In altre parole, gli aggressori fanno leva su vulnerabilità recentemente scoperte nei software Apple (meglio ancora se non note all’azienda di Cupertino). Nella maggior parte dei casi, inoltre, si cerca di congegnare un attacco che “funzioni e basta”, senza che l’utente debba offrire qualche tipo di interazione (per questo si chiamano zero-click). Sono, evidentemente, le modalità di aggressione più evolute che offrono, dal punto di vista degli attaccanti, i migliori risultato e la più elevata percentuale di successo.

Kaspersky osserva che riavvii giornalieri del dispositivo iOS contribuiscono a rimuovere eventuali minacce dalla memoria. Gli aggressori dovrebbero ripetere il loro attacco aumentando le probabilità di essere scoperti. La modalità di isolamento attivabile su iOS, contribuisce inoltre a fermare le infezioni.

La società presenta anche un suggerimento draconiano: le vulnerabilità via via scoperte in iMessage e Facetime sono di frequente sfruttate dai criminali informatici per eseguire attacchi zero-click. Abbandonare queste applicazioni può contribuire alla difesa del proprio dispositivo e dei dati in esso memorizzati.

Ovviamente, resta fondamentale mantenere aggiornato il dispositivo installando tempestivamente le ultime patch per iOS. Molti kit di exploit per iOS mirano alle vulnerabilità già oggetto di correzione da parte di Apple. È infine bene prestare attenzione ai link evitando di aprire collegamenti ricevuti per messaggio, tramite SMS, attraverso la messaggistica o via email. L’utilizzo di uno strumento come iShutdown, inoltre, può aiutare a rilevare il malware insediatosi iOS.

Credit immagine in apertura: “A lightweight method to detect potential iOS malware”, Kaspersky.