Presentamos los scripts Python desarrollados por Kaspersky que ayudan a verificar la presencia de posibles infecciones por spyware en dispositivos Apple iOS. ¿Qué son y cómo funcionan?
Las amenazas Pegasus, Reign y Predator son spyware iOS sofisticados diseñados específicamente para monitorear las actividades de los propietarios de dispositivos Apple, sustrayendo datos personales e información confidencial. Estos componentes dañinos han sido objeto de análisis por parte de varias fuentes, incluido Kaspersky.
El uso de los spyware mencionados ha llamado la atención de empresas e investigadores en el campo de la ciberseguridad, especialmente porque son componentes dañinos utilizados en ataques informáticos de alto perfil. El objetivo es dirigirse a sujetos específicos, a menudo políticamente expuestos, así como a destacadas entidades empresariales.
Como se destaca en nuestros otros artículos, los ciberdelincuentes que han desarrollado amenazas como Pegasus, Reign y Predator a menudo permanecen bajo el radar. Esto significa que utilizan técnicas para permanecer en la sombra después de que el dispositivo iOS ha sido infectado.
Scripts iShutdown
¿Qué es el archivo de registro Shutdown.log y por qué revela la existencia de infecciones por spyware iOS? El archivo Shutdown.log es un archivo de registro creado en dispositivos iOS en el que se anota cada evento de reinicio, junto con diversas características del entorno. El archivo puede contener información que se remonta a períodos bastante antiguos, y es por esta razón que su contenido revela pistas excelentes sobre lo que ocurre de manera sospechosa a nivel del sistema.
Los investigadores de Kaspersky explican que, aunque históricamente se ha pasado por alto el archivo Shutdown.log, en realidad alberga información valiosa. Los expertos de la empresa descubrieron que, de manera inesperada, las infecciones provocadas por los spyware mencionados dejan rastros en el registro del sistema. Así, cualquier anomalía asociada con los malware Pegasus, Reign y Predator se hace evidente en el “log” cuando el usuario reinicia un dispositivo infectado.
En el registro Shutdown.log se registran los reinicios de iOS, junto con la fecha y la hora en que se detiene cada proceso en ejecución. Para cada proceso, el archivo también conserva el correspondiente ID de proceso (PID), el identificador que permite determinar de manera única su identidad.
Cómo Funcionan los scripts iShutdown
Observando el comportamiento del archivo de sistema Shutdown.log, los investigadores y desarrolladores de Kaspersky han creado un conjunto de scripts Python, llamados iShutdown en su conjunto, que se encargan de examinar las huellas dejadas por los spyware que podrían estar en ejecución en el dispositivo iOS. Los tres scripts son los siguientes:
iShutdown_detect.py: verifica la presencia de referencias anómalas en el archivo comprimido en formato TAR Sysdiagnose. Estos podrían ser indicios de una infección por malware.iShutdown_parse.py: extrae del archivo Sysdiagnose el registro de apagado Shutdown.log y lo somete a análisis. El resultado proporcionado por el script consiste en un archivo CSV con referencias a procesos sospechosos, junto con sus hashes MD5, SHA1, SHA256 correspondientes.iShutdown_stats.py: se encarga de extraer los datos de reinicio del dispositivo iOS del archivo Shutdown.log. Por ejemplo, el primer y último reinicio, el número de reinicios realizados cada mes, entre otros.
El repositorio GitHub del proyecto iShutdown contiene instrucciones útiles para utilizar los scripts Python, así como algunos ejemplos de resultados. La presencia del resultado “Suspicious processes” constituye una confirmación inequívoca de la presencia de un spyware. En cualquier caso, todos los scripts propuestos pueden ejecutarse tal como están invocando python3.
https://github.com/KasperskyLab/iShutdownEjemplo de una salida:
+++ Detected 41 reboot(s). Good practice to follow.
*** Detected 29 reboot(s) with 3 or more delays before a reboot.
.......
.......
2021-mm-dd hh:mm:ss UTC
*** Suspicious processes in '/private/var/db/' occurred 4 time(s). Further
investigation needed!
*** The suspicious processes are:
com.apple.xpc.roleaccountd.staging/mptbd/42286BD8-3758-3B85-B19F-6E1FDB2CB030)
com.apple.xpc.roleaccountd.staging/mptbd/42286BD8-3758-3B85-B19F-6E1FDB2CB030)
com.apple.xpc.roleaccountd.staging/mptbd/42286BD8-3758-3B85-B19F-6E1FDB2CB030)
com.apple.xpc.roleaccountd.staging/mptbd/42286BD8-3758-3B85-B19F-6E1FDB2CB030)
*** Detected during reboot(s) on:
2021-mm-dd hh:mm:ss UTC
+++ No suspicious processes detected in '/private/var/tmp/'. Last reboot
was on: 2021-mm-dd hh:mm:ss UTCAunque la solución propuesta por Kaspersky se creó para ofrecer una respuesta a la propagación de los spyware Pegasus, Reign y Predator, la información contenida en el archivo de registro puede ayudar a detectar nuevas familias de malware.
Cómo Protegerse de los Spyware iOS más Inteligentes e Invasivos
Los spyware iOS como Pegasus y sus variantes son altamente sofisticados. Aunque no siempre es posible protegerse, especialmente en el caso de ataques dirigidos, se pueden complicar las cosas para los ciberdelincuentes y detectar amenazas aplicando algunas pautas efectivas.
Con frecuencia, la infección se facilita aprovechando ataques 0-day y zero-click. En otras palabras, los agresores se aprovechan de vulnerabilidades recientemente descubiertas en el software de Apple (mejor aún si no son conocidas por la empresa de Cupertino). Además, en la mayoría de los casos, se intenta diseñar un ataque que “simplemente funcione”, sin que el usuario tenga que realizar alguna interacción (por eso se llaman zero-click). Estas son, evidentemente, las formas de ataque más avanzadas que ofrecen, desde el punto de vista de los atacantes, los mejores resultados y la más alta tasa de éxito.
Kaspersky observa que los reinicios diarios del dispositivo iOS ayudan a eliminar posibles amenazas de la memoria. Los agresores tendrían que repetir su ataque, aumentando las probabilidades de ser descubiertos. El modo de aislamiento activable en iOS también contribuye a detener las infecciones.
La empresa también presenta una sugerencia drástica: las vulnerabilidades descubiertas en iMessage y Facetime son frecuentemente aprovechadas por los ciberdelincuentes para realizar ataques zero-click. Abandonar estas aplicaciones puede contribuir a la defensa del dispositivo y los datos almacenados en él.
Por supuesto, es fundamental mantener actualizado el dispositivo instalando rápidamente las últimas actualizaciones para iOS. Muchos kits de exploits para iOS se dirigen a vulnerabilidades que ya han sido corregidas por Apple. Además, es importante prestar atención a los enlaces, evitando abrir los recibidos por mensaje, SMS, mensajería o correo electrónico. El uso de una herramienta como iShutdown también puede ayudar a detectar el malware en dispositivos iOS.
