Utilisez iShutdown pour détecter la présence de logiciels espions tels que Pegasus sur votre iPhone !


Kaspersky a révélé une découverte intrigante : la possibilité de déterminer si un iPhone est contaminé par des logiciels espions tels que Pegasus, Reign ou Predator en analysant le fichier journal "Shutdown.log". Ce fichier, utilisé par le système pour enregistrer les événements liés au redémarrage de l'appareil, offre des informations cruciales, notamment sur la durée de l'arrêt de chaque processus, avec des identifiants PID associés.Pour faciliter cette analyse, Kaspersky a mis à disposition iShutdown, un ensemble de trois scripts Python :

  1. iShutdown_detect.py : analyse l'archive tar de Sysdiagnose à la recherche d'entrées suspectes pouvant indiquer la présence d'un malware.
  2. iShutdown_parse.py : extrait les artefacts du fichier Shutdown.log à partir de l'archive tar de Sysdiagnose pour une analyse approfondie.
  3. iShutdown_stats.py : génère des statistiques liées au redémarrage à partir du fichier journal Shutdown.log, fournissant des données telles que le dernier redémarrage, le nombre de redémarrages par mois, etc.

Ces scripts s'adressent principalement aux utilisateurs expérimentés, maîtrisant le terminal et l'analyse de résultats. Pour accéder au dépôt GitHub d'iShutdown, suivez ce lien : [GitHub - Kaspersky - iShutdown](lien GitHub).Les scripts iShutdown proposés par Kaspersky constituent un véritable outil de forensic, permettant l'analyse approfondie du fichier Shutdown.log, qui peut conserver des entrées sur plusieurs années. 

Selon Kaspersky, après une infection, le redémarrage du smartphone est essentiel pour générer des traces dans le fichier journal Shutdown.log. Bien que la fréquence recommandée ne soit pas précisée, Kaspersky souligne que "cette méthode repose sur le fait que l'utilisateur doit redémarrer son téléphone aussi souvent que possible.

"De plus, les chercheurs en sécurité expliquent qu'un retard excessif lors du redémarrage peut également indiquer une infection, et ce retard peut être détecté grâce à l'analyse du fichier journal : "Bien que nous ayons observé des cas de téléphones non infectés avec deux ou trois notifications de retard de redémarrage, nous considérons les retards excessifs (plus de quatre) comme une autre anomalie du journal qui doit être examinée."

Cet outil devrait être accueilli avec enthousiasme par les utilisateurs concernés par ces préoccupations de sécurité !