Selon iVerify (article de Matthias Frielingsdorf, VP Research), iOS 26 modifie la gestion du fichier shutdown.log en l’écrasant à chaque redémarrage, ce qui efface des preuves historiques d’infections par les spywares Pegasus et Predator, posant un défi majeur aux enquêteurs forensiques.

📱 Rôle de shutdown.log: Pour les versions antérieures, le fichier se trouvait dans les Unified Logs (Sysdiagnose → system_logs.logarchive → Extra → shutdown.log) et conservait une trace des activités lors de l’extinction. En 2021, des versions connues de Pegasus laissaient des marqueurs visibles dans ce log, facilitant l’identification d’indicateurs de compromission (IOC).

🕵️‍♂️ Évolution des techniques d’évasion: En 2022, Pegasus a commencé à vider (wipe) le shutdown.log pour masquer ses traces. Même ainsi, des traces subtiles restaient détectables, rendant un log « propre » suspect. Des cas observés jusqu’à fin 2022 indiquent un durcissement, avec un effacement robuste du fichier et une surveillance du processus d’extinction. Le spyware Predator (observé en 2023) montre un comportement similaire. Sur des systèmes < iOS 18, la corrélation des événements de démarrage dans les logs de containermanagerd avec les entrées de shutdown.log permettait de repérer des incohérences (démarrages multiples sans entrées correspondantes), signe potentiel de dissimulation.

⚠️ Changement iOS 26 et impact: Avec iOS 26, shutdown.log est réécrit à chaque reboot (au lieu d’être enrichi par appends), supprimant automatiquement les anciennes preuves. Cette « hygiène » de log efface des artefacts essentiels pour la détection de Pegasus/Predator, rendant plus difficile l’attribution et la validation a posteriori des compromissions, alors que les attaques par spyware restent d’actualité.

🧪 IOCs et TTPs reportés:

  • IOC spécifique (Pegasus 2022) dans shutdown.log: présence de « /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking ».
  • TTPs: wipe du shutdown.log, surveillance de l’extinction, utilisation de noms de processus système légitimes pour se camoufler, corrélation de logs (containermanagerd vs shutdown.log) pour révéler des écarts.

Avant la mise à jour (recommandations rapportées par iVerify):

  • Sauvegarder immédiatement un sysdiagnose avant de passer à iOS 26 pour préserver le shutdown.log et les preuves possibles.
  • Envisager de différer la mise à jour vers iOS 26 jusqu’à une correction empêchant l’écrasement du shutdown.log au boot.

Il s’agit d’une publication de recherche visant à documenter un changement d’iOS ayant un impact forensique et à informer sur ses implications pour la détection de spyware.

🔗 Source originale : https://iverify.io/blog/key-iocs-for-pegasus-and-predator-spyware-cleaned-with-ios-26-update