Una de las razones por la que la gente compra iPhone y otros dispositivos de Apple es porque les ofrecen una mayor seguridad. Hay quienes creen que estos no pueden ser hackeados y nunca sufren brechas de seguridad o malware, pero esto no es así. Los iPhone han sufrido varias vulnerabilidades y ataques a lo largo de su historia y hace poco ocurrió un evento controvertido en la India. Tras haber dado a conocer el hackeo de iPhone con Pegasus, ahora Kaspersky ha decidido compartir una herramienta para detectar el troyano Pegasus en estos móviles.
Kaspersky Lab o Kaspersky a secas, es una empresa rusa de software principalmente conocida por su antivirus que tiene el mismo nombre. Esta se fundó en 1997 y a lo largo de los años se convirtió en una de las compañías de venta de software más importantes del mundo. Llegó a alcanzar el tercer puesto de vendedor más importante de software para PC en 2012 y la cuarta posición en cuanto a seguridad para usuarios y empresas en 2013. Aquí hemos podido ver como los investigadores de Kaspersky se llevan muchas menciones en cuanto a sus descubrimientos.
Kaspersky ha descubierto como detectar el spyware Pegasus en iPhone
Recientemente, vimos como Kaspersky descubrió una vulnerabilidad que existía en los iPhone desde 2019 y a la que bautizaron como Triangulation. Durante 4 largos años, este exploit ha permitido robar datos de los iPhone en Rusia, pues de hecho, afectó a los propios empleados de Kaspersky. La compañía lo consideró el exploit más avanzado de la historia, pues logró afectar a cuatro vulnerabilidades día 0, sin que Apple pudiese hacer nada. Estas han sido parcheadas recientemente, pero no en su totalidad, pues según el parche de diciembre de Apple, solo dos de las cuatro aparecían corregidas.
Otro ejemplo de ataque a los dispositivos de Apple es el uso de Pegasus, que se empleó en la India para hackear iPhones de periodistas. Unas semanas después de lo ocurrido en la India, vemos que Kaspersky ha logrado desarrollar una herramienta para poder detectar los iPhones infectados por el troyano Pegasus y así no ir a ciegas cuando se trata de luchar contra este spyware.
Han publicado tres scripts que nos permitirán analizar el registro en busca de rastros de Pegasus
Pegasus lleva existiendo desde hace años y se ha empleado como spyware para poder espiar en gobiernos de varios países europeos, además de en la India. Tras haber estado realizado experimentos y estudios de los iPhone, los investigadores de Kaspersky tienen disponible una herramienta de detección muy útil. Según han comentado, la detección se produce mediante un registro del sistema llamado Shutdown.log. Este muestra todo lo que ha ocurrido al reiniciar un iPhone, incluyendo también pistas sobre Pegasus.
Los de Kaspersky llegaron a identificar registros de Pegasus en iPhone que mostraban fechas de hace años, habiendo espiado durante todo ese tiempo. También han descubierto que la ejecución del malware desde /private/var/db/ es habitual en todas las infecciones, aunque el nombre del proceso cambie. Curiosamente, este directorio coincide con otro spyware llamado Predator, el cual se ha empleado por varias agencias gubernamentales para monitorizar iPhone.
El único punto negativo es que para poder detectar el rastro de Pegasus y otros spyware, se debe reiniciar el iPhone y la frecuencia de los reinicios varían dependiendo de la persona. Por si tenéis curiosidad, Kaspersky ha dejado tres scripts Python que permiten ayudar a detectar la presencia de Pegasus y otros spyware en iPhone. Estos se encuentran disponibles para descargar desde GitHub y constan de son:
- iShutdown_detect.py: analiza los registros para ayudar a identificar el malware.
- iShutdown_parse.py: permite extraer el archivo Shutdown.log y transformarlo en un archivo legible (CSV).
- iShutdown_stats.py: permite leer información sobre los reinicios desde el archivo de registro.
Fuente:elchapuzasinformatico.com