Con la creciente sofisticación de los software espía, los usuarios de iPhone están buscando formas efectivas de proteger su privacidad. Recientemente, ha surgido una herramienta innovadora llamada iShutdown Scripts, que promete ser un aliado valioso en la detección de software espía en dispositivos iOS.
Expertos en seguridad informática han revelado que es posible identificar las infecciones de los notorios programas espía Pegasus, Reign y Predator en dispositivos móviles de Apple al examinar el archivo de registro del sistema conocido como Shutdown.log. Este archivo registra eventos de reinicio y se ha convertido en una valiosa herramienta para detectar posibles casos de malware en dispositivos comprometidos.
Para facilitar este proceso de análisis y detección de signos de infección, Kaspersky ha desarrollado scripts de Python que automatizan el proceso y lo hacen más accesible para su evaluación. El archivo Shutdown.log se actualiza durante cada reinicio del dispositivo, registrando el tiempo necesario para que un proceso se complete y su identificador único (PID).
Te podrá interesar: Reciente Explotación de una Vulnerabilidad en iOS por Pegasus
Cuando el malware afecta significativamente al reinicio de un dispositivo debido a los procesos de inyección y manipulación que realiza, deja rastros digitales forenses que confirman su presencia comprometedora.
En comparación con las técnicas convencionales, como examinar una copia de seguridad de iOS cifrada o el tráfico de red, el archivo Shutdown.log proporciona un método de análisis mucho más sencillo, según señalan los investigadores.
Kaspersky ha lanzado tres scripts de Python bajo el nombre de iShutdown, que permiten a los investigadores verificar los datos de reinicio desde el archivo de registro de apagado de iOS:
Destacando los procesos que causan demoras en el reinicio
Te podrá interesar leer: iPhone Triangulation Attack: Características ocultas del Hardware
Dado que el archivo Shutdown.log solo puede registrar datos que muestren signos de infección si se produce un reinicio después del compromiso, Kaspersky recomienda reiniciar el dispositivo con frecuencia para detectar infecciones.
El repositorio de GitHub de Kaspersky proporciona instrucciones sobre cómo utilizar los scripts de Python y muestra ejemplos de resultados. Sin embargo, es necesario contar con cierta familiaridad en Python, iOS, el uso del terminal y los indicadores de malware para evaluar adecuadamente los resultados.
Los archivos Sysdiagnose son archivos .tar.gz de 200 a 400 MB que se utilizan para solucionar problemas en dispositivos iOS y iPadOS, y contienen información sobre el comportamiento del software y las comunicaciones de red, entre otros datos.
Kaspersky inicialmente empleó este método para analizar iPhones infectados con el software espía Pegasus, y obtuvo indicios de infección en el registro, lo cual fue confirmado mediante la herramienta MVT desarrollada por Amnistía Internacional.
Los investigadores señalan que su método puede fallar si el usuario no reinicia el dispositivo el día de la infección. Además, observaron que el archivo de registro registra los retrasos en los reinicios, como en el caso de un proceso relacionado con Pegasus que obstaculiza el procedimiento.
Aunque este tipo de retrasos pueden ocurrir en teléfonos no infectados, los investigadores de Kaspersky consideran que más de cuatro retrasos, que se consideran excesivos, son una anomalía en el registro que merece ser investigada.
Cuando probaron el método en un iPhone infectado con el software espía Reign, los investigadores notaron que la ejecución del malware se originaba en la misma ruta ("/private/var/db/") que en el caso de Pegasus. Una ruta similar, visible en el archivo de registro de Shutdown, también suele ser utilizada por el software espía Predator, dirigido a legisladores y periodistas.
Con base en estas observaciones, los investigadores de Kaspersky creen que el uso del archivo de registro puede ser útil para identificar infecciones por parte de estas familias de malware, siempre y cuando el objetivo reinicie su teléfono con suficiente frecuencia.
Conoce más sobre: Refuerza tu seguridad: Desactiva esta opción en tu iPhone
La seguridad en iOS es un tema de creciente importancia, y herramientas como iShutdown Scripts juegan un papel vital en la protección de nuestra información personal. Al entender cómo funciona esta herramienta y aplicarla correctamente, los usuarios de iPhone pueden dar un paso importante hacia la seguridad de sus dispositivos. La detección temprana de software espía no solo protege la privacidad individual, sino que también ayuda a mantener la integridad general del ecosistema digital.