Les menaces Pegasus , Reign et Predator sont des logiciels espions iOS sophistiqués spécialement conçus pour surveiller les activités des propriétaires d’appareils Apple, en volant leurs données personnelles et informations confidentielles. Ces composants malveillants ont été analysés par plusieurs sources, dont Kaspersky . L’utilisation des logiciels espions susmentionnés fait désormais l’objet d’une attention particulière de la part des entreprises et des chercheurs dans le domaine de la sécurité informatique, notamment parce qu’il s’agit de composants malveillants exploités dans des cyberattaques très médiatisées . L’objectif est en effet de cibler des sujets précis, souvent politiquement exposés, ainsi que des entreprises de premier plan.
Comme souligné dans nos autres articles, les cybercriminels qui ont développé des menaces comme Pegasus, Reign et Predator restent souvent sous le radar . Cela signifie qu’ils utilisent des techniques pour rester dans l’ombre une fois l’ appareil iOS infecté .
Qu’est-ce que le fichier journal Shutdown.log et pourquoi révèle-t-il l’existence d’infections par des logiciels espions iOS
Le fichier Shutdown.log est un fichier journal créé sur les appareils iOS dans lequel chaque événement de redémarrage est noté, ainsi que diverses caractéristiques de l’environnement. Le fichier peut contenir des informations qui remontent même à des époques très lointaines et c’est précisément pour cette raison que son contenu révèle d’excellents indices sur des événements suspects au niveau du système.
C’est ce qu’expliquent les chercheurs de Kaspersky qui observent comment le fichier Shutdown.log a été historiquement ignoré alors qu’il contient en réalité des informations précieuses. Les experts de l’entreprise ont découvert que, de manière inattendue, les infections provoquées par les logiciels espions mentionnés ci-dessus laissent des traces dans le journal système. Ainsi, toute anomalie associée aux logiciels malveillants Pegasus , Reign et Predator devient évidente dans le « journal » lorsque l’utilisateur redémarre un appareil infecté.
Les redémarrages iosShutdown.log sont notés dans le journal , ainsi que la date et l’heure d’arrêt de chaque processus en cours d’exécution. Pour chaque processus , le fichier stocke également l’ ID de processus correspondant ( PID ), l’identifiant qui vous permet de vérifier de manière unique son identité.
Comment fonctionnent les scripts iShutdown pour rechercher les logiciels espions sur les appareils Apple
Partant de l’observation du comportement du fichier système Shutdown.log les chercheurs et développeurs de Kaspersky ont créé un ensemble de scripts Python, appelés iShutdown dans son ensemble, qui examinent les traces laissées par les logiciels espions éventuellement exécutés sur l’appareil iOS. Les scripts sont les trois suivants :
- iShutdown_detect.py : vérifie les références anormales dans l’archive compressée au format TAR Sysdiagnose . Cela pourrait déjà être le signe d’une infection par un logiciel malveillant.
- iShutdown_parse.py : extrait le fichier journal de l’archive Sysdiagnose Shutdown.log et le soumet à une analyse. La sortie fournie par le script consiste en un fichier CSV contenant des références aux processus suspects, ainsi que leurs hachages MD5, SHA1, SHA256 .
- iShutdown_stats.py : se charge d’extraire les données de redémarrage de l’appareil iOS du Shutdown.log. Par exemple, le premier et le dernier redémarrage, le nombre de démarrages effectués chaque mois, etc.
Le référentiel GitHub du projet iShutdown contient des informations utiles pour l’utilisation des scripts Python ainsi que quelques exemples de sortie. La présence de la réponse Processus suspects constitue une confirmation sans équivoque de la présence d’un logiciel espion. Dans tous les cas, tous les scripts proposés peuvent être exécutés tels quels en appelant python3.
Même si la solution proposée par Kaspersky a été créée pour répondre à la propagation des logiciels espions Pegasus , Reign et Predator , les informations contenues dans le fichier journal peuvent également permettre de révéler de nouvelles familles de malwares .
Comment vous protéger contre les logiciels espions iOS les plus intelligents et les plus invasifs
Les logiciels espions iOS comme Pegasus et ses « associés » sont très sophistiqués. S’il n’est pas toujours possible de se protéger, notamment dans le cas d’ attaques ciblées , il est possible de rendre la vie plus difficile aux cybercriminels et de faire émerger des menaces en appliquant quelques directives efficaces.
Très souvent, l’infection joue un jeu facile en exploitant des attaques de type 0 jour et sans clic . En d’autres termes, les attaquants exploitent des vulnérabilités récemment découvertes dans les logiciels Apple (encore mieux si elles ne sont pas connues de la société de Cupertino). De plus, dans la plupart des cas, nous essayons de concevoir une attaque qui « fonctionne », sans que l’utilisateur ait à proposer un quelconque type d’interaction (c’est pourquoi on l’appelle zéro-clic ). Il s’agit évidemment des méthodes d’agression les plus avancées qui offrent, du point de vue de l’attaquant, les meilleurs résultats et le pourcentage de réussite le plus élevé.
Kaspersky note que les redémarrages quotidiens de l’appareil iOS aident à supprimer toutes les menaces de la mémoire. Les attaquants devraient répéter leur attaque, augmentant ainsi leurs chances de se faire prendre. Le mode d’isolement activable sur iOS permet également de stopper les infections.
L’entreprise fait également une suggestion draconienne : les vulnérabilités progressivement découvertes dans iMessage et Facetime sont fréquemment exploitées par les cybercriminels pour mener des attaques sans clic . Quitter ces applications peut aider à protéger votre appareil et les données qui y sont stockées.
Évidemment, il reste essentiel de maintenir l’appareil à jour en installant rapidement les derniers correctifs iOS . De nombreux kits d’exploitation iOS ciblent des vulnérabilités déjà corrigées par Apple. Enfin, il est judicieux de faire attention aux liens et d’éviter d’ouvrir les liens reçus par message, SMS, messagerie ou email. L’utilisation d’un outil comme iShutdown peut également aider à détecter les logiciels malveillants iOS.
