カスペルスキーのグローバル調査分析チーム(GReAT)は2月15日、イスラエル企業のNSO社が開発した“合法的な監視用ソフトウェア”である「Pegasus」や、Pegasusに類似した新しい脅威の「Reign」「Predator」など、iOSを狙う高度なスパイウェアを検知する新しい簡便な手法を公開した。また、iOSユーザー向けにセルフチェックユーティリティも作成した。標的のiPhoneやiPadからデータを収集し、監視する能力を持つ。公開された内容は以下のとおり。
GReATのリサーチャーは、Pegasusに感染した痕跡ログが、予期せずシステムログの「Shutdown.log」に残ることを発見。このファイルは、どのiOSモバイルデバイスでも「sysdiagnose (sysdiag)」アーカイブ内に保存される。
通常は数分程度で作成できるこのアーカイブには、再起動セッション時の情報が保持されており、感染したiOSユーザーがデバイスを再起動した際に、Pegasusマルウェアに関連する異常がこのログに記録される。特にPegasusに関連する「粘着質」なプロセスが過剰に再起動を妨げるインスタンスが確認されているほか、サイバーセキュリティコミュニティによって発見された感染の痕跡などが含まれている。
Pegasusに感染したデバイスの「Shutdown.log」を解析したところ、ReignやPredatorなどの他のiOSマルウェアの感染時に見られるパスと同じ「/private/var/db/」を確認した。このパスから発生するマルウェアの実行は、これまでに確認された全ての感染で一貫していることから、「Shutdown.log」はこれらのマルウェアファミリーによる感染を特定できる可能性がある。
またGReATのリサーチャーは、iOSユーザーがスパイウェアの感染を容易に確認できるようにセルフチェックユーティリティを開発した。3つのPython3スクリプトによって、「Shutdown.log」アーチファクトの抽出、分析、解析を自動的に行える。このツールはGitHubで公開しており、macOS、Windows、およびLinuxプラットフォーム上で利用できる。
関連リンク