カスペルスキーのグローバル調査分析チーム (GReAT) は、Pegasus と同様に洗練された iOS スパイウェアの新しい検出方法を開発しました。サイバーセキュリティプロバイダーは、Github で公開されている感染チェックツールを提供しています。
スパイウェア Pegasus は最近ドイツで使用されました。スパイウェア感染を簡単に特定できるように、カスペルスキーの専門家はユーザー向けのセルフチェック ツールを開発しました。 Pegasus に加えて、iOS スパイウェア Reign と Predator も検出されます。
カスペルスキーの専門家が新しい検出方法を開発できたのは、Pegasus の感染がすべてのモバイル iOS デバイスの診断アーカイブに含まれるシステム ログ「Shutdown.log」に痕跡を残すことに気づいたからです。アーカイブには各再起動プロセスに関する情報が含まれているため、感染したユーザーがデバイスを再起動するとすぐに、Pegasus マルウェアの異常がログに表示されるようになります。これらには、特に Pegasus スパイウェアの場合、再起動を防ぐ「スティッキー」プロセスや、サイバーセキュリティ コミュニティによって発見された感染の痕跡が含まれます。
ペガサスは感染の痕跡を残す
カスペルスキーの専門家は、Pegasus 感染の Shutdown.log を分析したところ、感染パス「/private/var/db/」を発見しました。これは、Reign や Predator などの他の iOS マルウェアのパスに一致していました。カスペルスキーの専門家は、このログ ファイルにはこれらのマルウェア ファミリに関連する感染を特定できる可能性があると考えています。
これらの調査結果に基づいて、ユーザー向けのセルフチェックツールを開発しました。 The-Python3 スクリプトを使用すると、Shutdown.log をより簡単に抽出、分析、解析できます。このツールは、macOS、Windows、Linux 用に Github から無料で入手できます。
「Sysdiag ダンプ分析は、システムベースのアーティファクトに依存して潜在的な iPhone 感染を特定する、侵襲性が最小限でリソース効率の高い方法です」と、Kaspersky の GReAT の主任セキュリティ研究員である Maher Yamout 氏は説明します。 「このログの感染インジケーターを使用し、他の iOS アーティファクトの MVT (Mobile Verification Toolkit) 処理を使用して感染を確認することにより、ログは iOS マルウェア感染を調査するための総合的なアプローチの一部になります。分析された他の Pegasus 感染との動作の一貫性が検証されているため、感染分析をサポートする信頼できる法医学的成果物として機能することが期待されます。」
高度な iOS スパイウェアから保護するための推奨事項
- デバイスを毎日再起動します。アムネスティ インターナショナルとシチズン ラボの調査によると、ペガサスは多くの場合、非永続的なゼロクリック ゼロデイ エクスプロイトに基づいています。定期的に再起動すると、デバイスをクリーンアップするのに役立ちます。その後、攻撃者は何度も再感染する必要があります。
- iOS マルウェア感染のブロックに成功していることが公開レポートで証明されているため、ロックダウン モードを使用してください。
iMessage と Facetime はハッカーによって最も悪用されるサービスの 1 つであるため、これらを無効にすると、ゼロクリック チェーンによって感染するリスクが軽減されます。 - モバイルデバイスを定期的に更新します。多くの iOS エクスプロイト キットは以前にパッチが適用された脆弱性をターゲットにしているため、最新の iOS パッチをすぐにインストールする必要があります。
- Pegasus は SMS、電子メール、またはメッセンジャーを介した 1 クリック エクスプロイトによって配布される可能性があるため、メッセージ内のリンクを開かないでください。
- 定期的にバックアップを作成し、システム診断を実行します。 Kaspersky ツールは、iOS マルウェアの検出に役立ちます。
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。