En el panorama en constante evolución de la seguridad móvil, la búsqueda de malware en el ecosistema iOS se asemeja a navegar por un laberinto con paredes invisibles. Imagínese disponer de una brújula digital que no sólo le guíe a través de este laberinto, sino que también le revele los mecanismos ocultos del malware para iOS, hasta ahora envueltos en el misterio. No se trata de una herramienta, sino de la naturaleza de los artefactos forenses digitales. En esta entrada del blog, exploraremos un artefacto forense en particular que destaca por descubrir algunos de los malware más escurridizos en dispositivos iOS y arrojar más luz sobre los rastros dejados por las sofisticadas amenazas que ponen en peligro a los compañeros de confianza que llevamos en el bolsillo.
En 2021 y 2022, se tuvo el privilegio de trabajar en algunas infecciones de malware Pegasus en varios dispositivos iPhone. Los iPhones fueron entregados inicialmente para realizar comprobaciones generales de seguridad antes de que descubriéramos las infecciones.
La investigación de estos casos puede ser complicada, costosa o llevar mucho tiempo debido a la naturaleza del ecosistema iOS. Como resultado, las amenazas relacionadas pueden pasar a menudo desapercibidas para el público en general. Hasta la fecha, los métodos habituales para analizar una infección móvil de iOS consisten en examinar una copia de seguridad completa cifrada de iOS o analizar el tráfico de red del dispositivo en cuestión. Sin embargo, ambos métodos llevan mucho tiempo o requieren un alto nivel de conocimientos, lo que limita su uso.
Mediante análisis, descubrimos que las infecciones dejaban rastros en un registro inesperado del sistema, Shutdown.log, que es un archivo de registro del sistema disponible en cualquier dispositivo móvil iOS. Dado que el método de detección era consistente en varias infecciones que se analizaron, se pensó en diseccionar y comprender este archivo de registro con más detalle, ya que podría utilizarse como otro método para detectar malware móvil.
Seguir leyendo [EN]: A lightweight method to detect potential iOS malware