Atualização do iOS 26 remove principais IOCs dos spywares Pegasus e Predator

 (iverify.io)
1 pontos por GN⁺ 2025-10-27 | 1 comentários | Compartilhar no WhatsApp
  • Na atualização mais recente do iOS 26, a forma de processamento do arquivo shutdown.log foi alterada, fazendo com que vestígios de infecção pelos spywares Pegasus e Predator sejam apagados
  • Antes, o shutdown.log era usado como evidência forense central na detecção de malware no iOS, mas na nova versão o log é sobrescrito durante a reinicialização
  • O Pegasus vem há anos evoluindo continuamente suas técnicas de exclusão e ocultação de logs, e o Predator também teria deixado rastros semelhantes, segundo a análise
  • Essa mudança levanta o problema de que pesquisadores de segurança e investigadores forenses terão mais dificuldade para confirmar infecções
  • Em um momento de aumento dos ataques com spyware, chama atenção o grande impacto que a política de tratamento de logs da Apple pode ter sobre a transparência de segurança

O papel e a importância do shutdown.log

  • O arquivo shutdown.log registra eventos ocorridos durante o processo de desligamento de dispositivos iOS e fornece pistas importantes para detectar malware
    • Ele fica no caminho system_logs.logarchive → Extra → shutdown.log dentro da pasta Sysdiagnose
    • Embora tenha sido ignorado por anos na análise de malware para iOS, na prática atuava como uma “testemunha silenciosa” ao deixar vestígios de infecção
  • Há um caso em que uma versão do spyware Pegasus divulgada em 2021 deixou vestígios claros de infecção (Indicator of Compromise, IOC) nesse log
    • Isso permitiu que pesquisadores de segurança identificassem dispositivos infectados
    • Depois disso, a desenvolvedora do Pegasus, a NSO Group, continuou aprimorando suas técnicas para evitar detecção

A estratégia de evasão evoluída do Pegasus

  • Por volta de 2022, o Pegasus começou a esconder seus rastros apagando completamente o próprio shutdown.log
    • Porém, mesmo no processo de exclusão, pequenos vestígios permaneciam, e um “log anormalmente limpo” passou a ser usado como indício de infecção
    • Esse padrão foi encontrado em vários casos, fazendo com que a própria exclusão do log fosse tratada como indicador de infecção
  • Depois disso, presume-se que o Pegasus passou a usar um mecanismo de monitoramento em tempo real do desligamento do aparelho para apagar totalmente o log
    • Pesquisadores confirmaram diversos casos em dispositivos sabidamente infectados em que o shutdown.log aparecia vazio ou era removido junto com outros IOCs
    • Como resultado, arquivos de log reinicializados de forma anormal passaram a ser usados como indicadores heurísticos para identificar dispositivos suspeitos

Rastros semelhantes no spyware Predator

  • O spyware Predator, observado em 2023, também parece ter aprendido com os casos do Pegasus
    • O Predator monitorava o shutdown.log e executava ações que deixavam seus próprios rastros
    • Foram encontrados padrões de log semelhantes aos do Pegasus, levantando discussões sobre semelhanças técnicas entre os dois spywares

Mudanças no iOS 26 e seus impactos

  • No iOS 26, o comportamento foi alterado para que o shutdown.log seja sobrescrito a cada reinicialização
    • Nas versões anteriores, os logs de cada desligamento eram acumulados em modo append, preservando os registros passados
    • Agora, sempre que o dispositivo reinicia, o log anterior é completamente apagado e substituído por um novo
  • Essa mudança faz com que evidências existentes de infecção por Pegasus e Predator sejam apagadas automaticamente
    • Não está claro se isso foi uma decisão intencional de design da Apple ou um bug
    • Pode ter sido motivado por higiene do sistema ou melhoria de desempenho, mas causa impacto crítico na análise forense
  • Como recentemente executivos de alto escalão, celebridades e outras pessoas também vêm sendo alvo de ataques com spyware, a exclusão de logs neste momento gera grande preocupação na comunidade de segurança

IOC do Pegasus 2022 em versões anteriores ao iOS 26

  • Em versões anteriores ao iOS 26, foi identificado um IOC específico de infecção pelo Pegasus 2022
    • Se o caminho /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking estiver presente no shutdown.log, há alta probabilidade de infecção
    • A NSO Group usava a estratégia de se disfarçar com nomes de processos comuns do sistema para evitar detecção
    • Isso dificulta a detecção tradicional baseada em nomes explícitos de processos

Análise de correlação de logs no iOS 18 e anteriores

  • No iOS 18 e anteriores, era possível determinar a presença de infecção por meio da análise comparativa entre os logs do containermanagerd e o shutdown.log
    • Os logs do containermanagerd registram eventos de boot e preservam dados por várias semanas
    • Inconsistências entre os dois logs (por exemplo, muitos eventos de boot, mas poucos logs de desligamento) sugerem possível ocultação intencional
    • Isso permitia rastrear indiretamente vestígios da atividade do spyware

Medidas recomendadas antes da atualização

  • Antes de atualizar para o iOS 26, recomenda-se tomar as seguintes medidas
    • Gerar e salvar imediatamente um Sysdiagnose para preservar o shutdown.log atual e outras evidências relacionadas
    • É recomendável adiar a atualização até que a Apple corrija o problema de sobrescrita dos logs
  • Essas medidas são essenciais para evitar a perda permanente de evidências de infecção e garantir dados para futuras análises forenses

Leituras relacionadas

1 comentários

 
GN⁺ 2025-10-27
Comentários no Hacker News

  • Fiquei confuso porque o artigo não definia o que era IOC
    IOC é a sigla de Indicators Of Compromise. O artigo escreveu por extenso uma vez, mas passou sem parênteses. Estou compartilhando caso mais alguém, como eu, não soubesse

    • Obrigado. O único IOC que eu conhecia era o Comitê Olímpico Internacional
    • Nas Forças Armadas dos EUA, IOC significa Initial Operational Capability. É diferenciado de FOC (Full Operational Capability). Veja este link com a explicação do termo
    • Siglas e acrônimos, quando não são claramente definidos, são ineficientes e criam uma barreira entre quem sabe e quem não sabe
      Eu realmente odiava quando “ISO” começou a ser usado no Facebook com o sentido de “in search of”, porque confundia com a ISO, a Organização Internacional para Padronização.
      Na nossa empresa, a regra é usar apenas abreviações cujo significado até uma pessoa comum consiga deduzir e que não possam ser facilmente interpretadas com outro sentido
    • Fez a piada “Help stamp out TLAs” no sentido de acabar com o abuso de TLA (three-letter acronym). Também compartilhou o link relacionado para ASS.md
    • Acrônimos de três letras (TLA) têm apenas 17.576 combinações possíveis

  • O fato de a Apple se posicionar como uma empresa de privacidade no fim das contas não passava de marketing de marca
    Enquanto a ICE contrata a Paragon para usar spyware zero-click, a Apple apagou rastros forenses essenciais que permitiam detectar vigilância conduzida por Estados. Incluindo o lobby de ouro e dinheiro do Cook, ela está participando da corrida ao fundo do poço entre as big techs

    • Quando trabalhei na Apple há 10 anos, o clima interno não era assim. Se essa mudança aconteceu, provavelmente é algo recente.
      Muito provavelmente é um bug, e dificilmente uma funcionalidade adicionada tarde por pedido do governo. No passado, no caso San Bernardino com o FBI, a Apple não cooperou
    • Acho que a Apple vai continuar falhando em fortalecer a segurança do iPhone contra empresas de spyware
    • A Apple mantém programas de bug bounty e SDR, mas fica a dúvida se isso é uma convicção real ou apenas prevenção contra dano à marca.
      Ela poderia fazer mais, mas nenhuma empresa consegue resistir completamente à pressão política
    • A Apple sempre foi boa em marketing enganoso. Falso discurso ambiental, política de reparo inviável, promessas falsas de privacidade etc.
      Se você precisa de segurança de verdade, o GrapheneOS é muito mais confiável

  • Em sistemas de grande escala, até pequenas mudanças viram um problema para alguém
    A Apple pode até reverter a funcionalidade para acalmar a comunidade do iVerify, mas, no longo prazo, isso só fará o spyware se esconder de forma mais sofisticada.
    Agora é preciso uma estratégia que vá além de simples artefatos forenses

    • Vulnerabilidades de iOS como Pegasus e Predator já são amplamente conhecidas, e é míope da parte da Apple não controlar esse tipo de detecção.
      A crença de que “o iPhone é seguro” acaba sendo apenas confiança de caixa-preta. Se bugs continuam aparecendo no iOS 26, por que os recursos de segurança seriam exceção?
    • Cita xkcd 1172 e xkcd 1053 de forma satírica para comentar a situação

  • O IOC se baseia nos logs de shutdown
    No iOS 26, a cada inicialização o shutdown.log é sobrescrito, apagando o histórico anterior.
    Isso acaba eliminando completamente os vestígios de infecção por Pegasus ou Predator

  • A remoção dos logs de shutdown pela Apple pode ser uma medida de segurança para impedir que atacantes analisem condições de falha ou o comportamento do dispositivo
    Mas, se ela leva privacidade a sério, o usuário também deveria ter o direito de examinar profundamente o próprio aparelho

    • Pesquisadores em fase de estudo do ataque vão conseguir root de qualquer forma e obter ainda mais informações.
      No fim, esse tipo de medida só restringe o usuário comum
    • Ser dono do aparelho não significa que o fabricante seja obrigado a oferecer toda funcionalidade que você quiser
    • A permissão para verificar processos em execução é ainda mais restrita do que o acesso aos logs de shutdown.
      A Apple sempre justifica maior controle em nome da privacidade

  • Essa mudança não existia no beta do iOS 26. Espero que seja corrigida em breve
    Como explicado neste vídeo no YouTube, o shutdown.log registrava a lista de processos em execução e era útil para detectar IOC.
    Também há quem recomende reiniciar o aparelho todos os dias se você se preocupa com segurança

  • Suspeito há algum tempo que alguém dentro da Apple esteja deixando vulnerabilidades de propósito para hackers israelenses

    • É possível, mas o iPhone é o principal produto da Apple, então uma decisão dessas causaria perdas devastadoras.
      Nos EUA isso talvez fosse logo esquecido, mas nos mercados da Ásia e da Europa a empresa perderia confiança.
      Mais realista seria a hipótese de o governo ter pressionado ou cooptado desenvolvedores dentro da Apple
    • Eu até preferiria que estivessem deixando vulnerabilidades para jailbreak
    • É curioso como, quando Israel entra na conversa, toda organização de P&D passa a parecer uma conspiração /s

  • Nem os autores do artigo acham que a Apple tenha tentado bloquear intencionalmente a detecção de spyware
    Eles recomendam adiar temporariamente a atualização para o iOS 26 e esperar até que a Apple corrija isso

    • Mas, para a maioria dos usuários, correções de bugs comuns são muito mais importantes do que IOC.
      Se você não é alvo de nível estatal, adiar a atualização é irracional

  • Um bom artigo deveria trazer uma lista de termos e siglas no começo do texto.
    Se não trouxer isso, não vale a pena ler

  • Acho absurdo que a perícia forense em iPhone só seja possível por meio de arquivos de backup
    Como no macOS, deveria ser permitido usar extensões de sistema (EL1+) para viabilizar monitoramento de segurança

    • Como pesquisador de segurança, acho que isso seria antes um presente para empresas de spyware.
      Acesso com privilégios elevados é perigoso
    • Se incluísse dump completo de memória, ficaria mais fácil encontrar vulnerabilidades de root, então a Apple nunca permitiria isso
    • Em uma apresentação da iVerify na CCC, houve a proposta de expor no iOS um mecanismo de EDR como existe no macOS
    • A própria tentativa de mexer com exploits em memória já é um risco desnecessário /s