Как предотвратить вредоносное ПО от заражения вашего iPad
Оба последних эксплойта очень похожи на то, как они заражают ваш iPad. Они используют корпоративную модель, которая позволяет компании устанавливать свои собственные приложения на iPad или iPhone без прохождения процесса App Store. В случае Wirelurker iPad должен быть физически подключен к Mac через разъем Lightning а также Mac должен быть заражен Wirelurker, что происходит, когда Mac загружает зараженные приложения из стороннего магазина приложений.
Новейший эксплойт немного сложнее. Он использует текстовые сообщения и электронные письма, чтобы нажимать приложение прямо на iPad без необходимости его подключения к Mac. Он использует ту же самую «лазейку» предприятия. Чтобы это работало без проводов, эксплойт должен использовать действующий корпоративный сертификат, который получить нелегко.
К счастью, вы можете защитить себя от этих и других вторжений. Большинство приложений устанавливаются через Apple App Store, у которого есть процесс утверждения, который проверяет наличие вредоносного ПО. Чтобы вредоносные программы попадали на ваш iPad, он должен найти свой путь на устройстве с помощью других средств.
- Во-первых, подумайте дважды о джейлбрейке вашего устройства. Один из вредоносных программ, который можно установить на вашем iPad, — это приложение Apple App Store. Знающие пользователи могут выполнить джейлбрейк своего устройства и исследовать отдельные приложения, чтобы уменьшить угрозу для вредоносного ПО, но даже тогда они находятся в менее защищенной среде. Если вы ищете лучшую защиту, просто избегайте джейлбрейка iPad.
- Затем всегда устанавливайте последние обновления. Хакеры хорошо разбираются в том, что они делают, и они постоянно проверяют все аспекты iPad на пути к устройству. Apple борется с этим, исправляя дыры и выпуская эти исправления в качестве обновлений операционной системы. Как проверить версию iOS на вашем iPad .
- Никогда не доверяйте неизвестному компьютеру. Когда вы подключаете iPad к ПК через адаптер Lightning, вам будет предложено узнать, стоит ли доверять компьютеру. Ваш iPad будет взимать плату независимо от вашего ответа, и единственной причиной доверия к ПК является передача файлов. Благодаря возможности поддерживать приложения и данные до облака и восстанавливать резервные копии из облака, вы даже можете не подключать iPad к своему ПК.
- Никогда не разрешайте устанавливать приложение на ваше устройство. Вот где они вас доставят. «Лазейка» модели предприятия — это не столько лазейка, сколько функция перепрофилирования. Несомненно, Apple в будущем сделает его более жестким, чтобы хакеры могли использовать этот метод, но всегда будет возможность устанавливать корпоративные приложения на iPad. Когда это произойдет, ваш iPad предложит вам разрешение на установку приложения. Каждый раз, когда вы получаете странное приглашение от вашего iPad, откажитесь от него. И если вас попросят установить приложение, обязательно отклоните его. Когда вы загружаете приложение из App Store, вас спрашивают о вашем Apple ID, но не спрашивают конкретно о разрешении на установку приложения.
В дополнение к этим шагам вы должны убедиться, что ваша домашняя сеть Wi-Fi защищена паролем.
Как защитить iPad от вирусов
В то время как слово «вирус» напугало мир ПК в течение нескольких десятилетий, на самом деле нет необходимости беспокоиться о защите вашего iPad. Способ работы платформы iOS — это барьер между приложениями, который не позволяет одному из приложений изменять файлы другого приложения. Это не позволяет вирусу распространяться на iPad.
Есть несколько приложений, которые утверждают, что защищают ваш iPad от вирусов, но они склонны сканировать вредоносное ПО. И они даже не концентрируются на приложениях. Вместо этого они сканируют документы Word, электронные таблицы Excel и аналогичные файлы для любых потенциальных вирусов или вредоносных программ, которые не могут фактически заразить ваш iPad, но могут потенциально заразить ваш компьютер, если вы перенесите файл на свой компьютер.
Лучшая тактика, чем загрузка одного из этих приложений, — это просто убедиться, что на вашем ПК имеется некоторая защита от вредоносных программ и вирусов. В конце концов, это вам и нужно.
Что делать, если iMazing сообщает, что мое устройство заражено?
Даже если приложение iMazing сообщает вам, что у вас установлено шпионское ПО любого типа, все равно существует вероятность ложного срабатывания. Приложение iMazing предложит несколько вещей. Сначала вы отправляете отчет команде iMazing, чтобы проверить, действительно ли у вас установлено шпионское ПО. Во-вторых, если вы каким-то образом вовлечены в политику, iMazing рекомендует удалить SIM-карту вашего устройства и на время выключить iPhone или iPad.
Что наиболее важно, Apple выпустила iOS 14.8, которая блокирует это шпионское ПО, поэтому обязательно обновите все свои устройства немедленно
Как обнаружить и удалить шпионское ПО Pegasus на iPhone и iPad
На прошлой неделе эксперты-аналитики Citizen Lab обнаружили опасное вредоносное приложение Pegasus. Атаке подвержены мобильные устройства, в том числе под управлением iOS. Пользователям, которые хотят обеспечить полную защиту своих устройств, следует выполнить несколько простых действий.
Pegasus – это изощренная атака, использующая для установки шпионского ПО цепочку из трех уязвимостей в iOS, известную как Trident и позволяющую злоумышленникам установить на устройство шпионскую программу. Последняя открывает доступ к персональным сообщениям, камере, телефонным вызовам, электронной почте, а также к ряду приложений на iPhone и iPad, в том числе к Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, WeChat, SS, Tango и т.д.
Вредоносная программа, или «эксплойт», использующая уязвимости безопасности iOS, существует уже несколько месяцев, однако насколько широко они применялись, неизвестно. Владельцам iPhone и iPad не следует переходить по ссылкам, которые они получают в SMS-сообщениях. Это относится не только к СМС с неизвестных номеров, но и от знакомых, так как номер отправителя может быть подделан.
Чтобы защититься от Pegasus, рекомендуется выполнить следующее:
Устройства без джейлбрейка:
Шаг 2: Установите из App Store бесплатное приложение Lookout или обновите его до последней версии, если оно уже установлено. Откройте приложение и в разделе «Защита» проверьте оценку системы, чтобы убедиться, что ваш iPhone или iPad защищён.
Устройства с джейлбрейком:
Шаг 1: Установите приложение Lookout или обновите его до последней версии. Откройте приложение и в разделе «Защита» проверьте оценку системы, чтобы проверить защиту вашего iPhone или iPad.
Шаг 2: Если вы обнаружили, что устройство инфицировано, возможности обновиться на iOS 9.3.5 без того, чтобы потерять джейлбрейк, пока не существует. Поэтому запустите Cydia и добавьте новый репозиторий https://coolstar.org/publicrepo/.
Шаг 3: После установки репозитория найдите программу Perl и установите ее.
Шаг 4: Добавьте в Cydia еще один репозиторий http://load.sh/cydia.
Шаг 5: Найдите через поиск пакет pgcheck и установите его.
Шаг 6: После установки двух приложений перезагрузите устройство. Не забудьте перевести свой iPhone или iPad в режим джейлбрейка по инструкции здесь.
Шаг 7: После перезагрузки на вашем устройстве будет работать утилита pgcheck, которая в автоматическом режиме сканирует устройство на предмет обнаружения Pegasus. Если вредоносное ПО будет обнаружено, следует перевести устройство в Авиарежим: далее все необходимое выполнит pgcheck.
Как работает Pegasus и подобное ПО
После многочисленных скандалов вокруг сливающих данные пользователей мессенджеров и социальных сетей разработчики были вынуждены закрыть ряд дыр и уязвимостей, которые чаще всего использовались третьими лицами для слежки и удаленного сбора данных.
После этого, нуждающиеся в новых возможностях шпионажа организации, обратили свой взор на израильскую компанию киберразведки NSO Group. Самой передовой технологий компании на данный момент является программное обеспечение Pegasus. Оно позволяет удаленно получать практически полный доступ к зараженным гаджетам.
Система перехватывает нажатие кнопок виртуальной клавиатуры (передавая все введенные жертвой данные), может передать любой контент со смартфона и даже удаленно активировать микрофон или камеру.
Разработка Pegasus ведется более пяти лет, создатели ПО вынуждены искать все новые обходные пути и дыры после каждого обновления iOS и Android. За это время утилита из простого «трояна» эволюционировала в настоящее шпионское ПО.
Если изначально утилита пыталась перехватить передаваемые и получаемые смартфоном данные, а затем по возможности расшифровывала их, то сейчас она может полностью управлять системой с правами суперпользователя со всеми вытекающими последствиями.
Раньше для активации вредоносного кода было необходимо спровоцировать цель. Пользователь смартфона должен был самостоятельно перейти по нужной ссылке из письма или сообщения. Для этого придумывали все более изощренные способы обмана и трюки. Так, например, устройство жертвы долго атаковали спамом, а затем резко предлагали отписаться от него по ссылке.
Со временем пользователи перестали реагировать на такие раздражители, делая невозможным запуск вредоносного кода на смартфоне. Разработчики смогли преодолеть этот барьер и сделали так называемый эксплойт без клика.
Такой способ взлома возможен без участия конечного пользователя и опирается исключительно на уязвимости служб обмена сообщениями. По данным Amnesty International, заражение вирусом Pegasus возможно через Gmail, , Viber, WhatsApp, WeChat и даже фирменные сервисы Apple — FaceTime и iMessage.
Аналитики утверждают, что количество уязвимостей с каждым годом только увеличивается. Происходит это из-за усложнения сервисов и добавления в них новых фишек. Такой подход позволяет хакерам найти еще больше дыр для активации вредоносного кода, чем в старых и медленно развивающихся сервисах.
За созданием ПО подобного Pegasus стоят большие деньги. За 2020 год компания NSO Group отчиталась об официальной прибыли в размере $243 млн.
Ищем шпионское ПО на iPhone
Безопасность – одно из главных преимуществ iPhone от Apple перед конкурентами. Компания надежно защищает своих пользователей от злоумышленников и использует безопасность в качестве аргумента, чтобы держать код своей ОС закрытым.
Однако атаки с использованием шпионского ПО Pegasus на iPhone журналистов и политиков по всему миру ясно дали понять, что даже защитные системы Apple не могут защитить от всего.
В этой статье мы расскажем вам, как обнаружить и удалить шпионское ПО со своего iPhone, а также разберем возможные методы защиты от программ по типу печально известной Pegasus.
Какие характерные признаки у шпионского ПО?
- Низкая производительность iPhone. Это может говорить о том, что на фоне постоянно работает какое-то вредоносное приложение. Однако помните – если вы участвуете в программе бета-тестирования iOS, то производительность вашего устройства может быть несколько ниже и это никак не связано с вредоносным или шпионским ПО;
- Сильный нагрев или быстрая разрядка аккамулятора;
- Появление необычных текстовых сообщений, зачастую на непонятном вам языке;
- Появление приложений, которые вы не устанавливали.
Помните — эти признаки могут появиться не только из-за шпионского ПО. Чтобы точно узнать, заражено ваше устройство или нет, вам потребуются специальные инструменты.
Чем можно вооружиться для охоты на шпионское ПО?
Мы разберем два самых популярных варианта. Первый — платный, второй – нет.
- Certo AntiSpy — инструмент с несложным интерфейсом, который проводит полное сканирование iPhone и выдает список потенциальных угроз. Приложение запускается не на телефоне, а на компьютере с подключенным по USB iPhone. Certo AntiSpy распространяется по подписке, которая стоит $49,95 в год.
- Mobile Verification Toolkit (MVT) — это бесплатный диагностический инструмент с открытым исходным кодом, используемый для криминалистического анализа. К счастью, существует пошаговое руководство по поиску шпионских программ на вашем iPhone. Вы также можете воспользоваться видеоинструкцией от censiCLICK на YouTube, чтобы сделать процесс более понятным. MVT работает путем создания резервной копии iTunes вашего iPhone и последующего сканирования резервной копии на наличие шпионских программ. Будьте готовы загрузить и использовать среду программирования Python (и в процессе устранять непредвиденные ошибки).
А как удалить вредоносов с устройства?
Здесь есть два варианта развития событий:
- Используемая вами программа сама предложит шаги, которые можно предпринять, чтобы удалить вредоносный файл, модуль или приложение.
- Инструмент выведет список файлов и установленных приложений, которые могут быть заражены шпионским ПО. Удалять их придется самостоятельно, не черех интерфейс приложения.
После сканирования мы рекомендуем обратить внимание на подозрительные приложения и удалить их. Кроме того, удаляйте те файлы, которые выглядят незнакомыми или вредоносными
Если используемая вами программа отметила один из файлов как опасный, поместите его в карантин и перенесите на компьютер, чтобы проверить с помощью десктопной версии антивируса.
Чем стоит пользоваться, чтобы не допустить заражения шпионским ПО?
Ответ прост – пользуйтесь антивирусами. Желательно пользоваться теми, которые сканируют просматриваемые вами ссылки и отслеживают проблемы с производительностью у iPhone.
Кроме того, скоро у Apple появится новая функция под названием Lockdown Mode, способная значительно подпортить жизнь шпионам и хакерам.
При запуске Lockdown Mode включает следующие средства защиты:
- В приложении «Сообщения» отключаются предварительный просмотр ссылок и вложений в сообщениях (кроме изображений);
- Входящие вызовы FaceTime от новых пользователей блокируются. Входящие приглашения в других службах от пользователей, с которыми ранее не было контакта, также блокируются;
- JIT-компиляция JavaScript отключается. Отдельные сайты можно добавить в доверенные для игнорирования ограничения;
- Общие альбомы в приложении «Фото» удаляются, приглашения в новые общие альбомы блокируются;
- Проводное соединение с другими устройствами и аксессуарами прерывается, пока устройство заблокировано;
- Установка профилей конфигурации запрещается;
- Устройство не может зарегистрироваться в системе управления мобильными устройствами (Mobile Device Management, MDM)
Чтобы обнаружить шпионское ПО на вашем iPhone …
Есть несколько способов узнать, есть ли на вашем iPhone шпионские программы:
- Проверьте, нет ли проблем с перегревом
- Проверьте заряд батареи вашего iPhone
- Проверьте использование данных вашего iPhone
- Смотрите, если вы получаете частые запросы входа в систему
- Проверьте наличие фонового шума при звонке
- Запустите сканирование шпионских программ
Проверьте, нет ли проблем с перегревом
Шпионское ПО должно работать в фоновом режиме, что обычно вызывает проблемы с перегревом. Если ваш iPhone периодически перегревается, это нормально. Но если это происходит часто, даже если вы им не пользуетесь, это может быть признаком того, что ваш iPhone подвержен шпионскому ПО.
Проверьте заряд батареи вашего iPhone
Батарея вашего iPhone разряжается быстрее, чем обычно? Шпионское ПО, работающее на вашем iPhone, значительно расходует батарею. Это ускоряет разрядку аккумулятора.
Проверьте использование данных вашего iPhone
Шпионское ПО обычно отправляет и получает данные (обычно ваши личные данные) через Интернет. Если у вас возникла непредвиденная проблема с высоким уровнем использования данных, вероятно, на вашем iPhone есть шпионское ПО.
Чтобы проверить использование ваших данных:
- На вашем iPhone откройте настройки.
Нажмите Сотовый.
Просмотр данных об использовании сети в разделе ПРИЛОЖЕНИЯ, ИСПОЛЬЗУЯ WLAN СОТОВЫЙ.
Затем вы можете проверить использование данных вашего iPhone и посмотреть, можете ли вы найти какие-либо проблемы с ним.
Смотрите, если вы получаете частые запросы входа в систему
Вы недавно получали запросы входа в систему на вашем iPhone? Если это происходит часто, вы должны быть осторожны!
Вы должны проверить, можете ли вы определить причину этих запросов. Если большинство из них являются неизвестными запросами, возможно, на вашем iPhone есть шпионское ПО, пытающееся использовать ваш Apple ID.
Проверьте наличие фонового шума при звонке
Слышащий шум при совершении или получении вызова также указывает на наличие шпионского ПО на вашем iPhone. Шум означает, что ваш звонок, вероятно, записан шпионским ПО. Вы должны быть начеку в этот момент.
Запустите сканирование шпионских программ
Это один из самых надежных способов проверить, есть ли на вашем iPhone программы-шпионы. Вы должны запустить приложение безопасности для сканирования вашего iPhone.
Вы можете загрузить приложение, например Avira Mobile Security, McAfee Mobile Security и Norton Mobile Security, из App Store. Затем запустите приложение, чтобы отсканировать ваш iPhone, чтобы увидеть, может ли оно найти шпионское ПО или другие проблемы с безопасностью.
Как узнать, заражен ли ваш iPhone
К счастью, на помощь пришли разработчики давно известного стороннего файлового менеджера для iPhone – iMazing. В обновлении 2.14 они добавили возможность сканирования iPhone или iPad для обнаружения вируса Pegasus или другого ПО на его основе.
Разработчики использовали предложенный Amnesty International алгоритм, но при этом упаковали его в простой и понятный интерфейс вместо сложной терминальной настройки и ручного ввода команд.
Приложение iMazing платное, но часть фишек, анализ заражения вирусом Pegasus в том числе, доступны бесплатно. Сейчас расскажем, что нужно сделать для обнаружения вредоносного ПО.
1. Скачайте пробную версию приложения iMazing с сайта разработчика. Доступны версии для macOS и Windows.
2. Подключите iPhone к компьютеру при помощи кабеля и разблокируйте его.
3. В приложении iMazing найдите раздел Поиск шпионского ПО.
4. Запустите режим сканирования и следуйте инструкциям на экране.
Данный способ сканирования полностью безопасен. Использовать его можно . Для загрузки тестовой версии приложения не требуется регистрации или создания учетной записи.
Проверка осуществляется локально на вашем компьютере и данные не передаются на сервера iMazing.
Подключение к сети для прохождения проверки необходимо исключительно для актуализации базы IOC (индикаторов компрометации) и расшифровки сокращенных ссылок, под которыми может маскироваться вредоносное ПО.
Подробнее о конфиденциальности пользовательских данных при работе с iMazing можете прочитать здесь.
Как запретить следить за мной при помощи iPhone
1
. Самое главное — у вас должен быть собственный Apple ID (), данные которого не знает никто кроме вас. Это идеальный вариант.
2
. Можно изменить пароль от существующего Apple ID, но при этом вы должны быть уверены, что ваш друг или родители не смогут восстановить его снова. Сбросить (восстановить) пароль от Apple ID можно при помощи контрольных вопросов (они задаются при регистрации Apple ID, но ), или обращения в техподдержку Apple.
3
. Отключение функции Геолокации
(Настройки
→ Конфиденциальность
→ Службы геолокации
) и службы Найти iPhone
(Настройки
→ iCloud
) также сделает слежку через сайт icloud.com невозможной. Однако, стоит учитывать, что в случае отключения служб геолокации Вы не сможете, например, пользоваться навигацией или отследить месторасположение смартфона .
Для этого в списке пользователей выберите того, с кем вы делитесь геопозицией и отключите опцию.
Общие симптомы атаки шпионского ПО
Учитывая скрытный характер атак шпионского ПО, иногда бывает сложно принять решение о наличии шпионского приложения на вашем устройстве. На самом деле, симптомов может быть множество, но если вы внимательно следите за состоянием своего iPhone, вы можете сказать, что что-то не так, если обнаружите любое из следующих «неустойчивых поведений»:
- Аккумулятор перегревается — Некоторые шпионские программы могут заставить процессор вашего телефона работать слишком интенсивно, истощая его ресурсы и перегревая аккумулятор. Если вы обнаружите, что ваша батарея постоянно нагревается, даже если вы не запускали какие-либо ресурсоемкие приложения, возможно, у вас на руках проблема со шпионским ПО.
- Устройство подключается к Интернету Willy-Nilly — Если ваш iPhone загадочным образом продолжает подключаться к Интернету без вашего ведома, есть вероятность, что вредоносное приложение возьмет под контроль ваше устройство и будет пытаться обновить его несоответствующим образом еще более ужасным способом.
- Запросы на вход в Apple ID — Если вас постоянно просят войти в систему, даже если вы уже или только что вышли из системы, вы также можете указать, что с вашим устройством возникла какая-то проблема. Скорее всего, этот сценарий означает, что кто-то перехватил ваш пароль и адрес электронной почты и поэтому продолжает входить в систему, когда вы не смотрите. Чтобы с этим справиться, обязательно обратитесь в службу поддержки клиентов или несколько раз меняйте пароль!
В общем, ни одно устройство не защищено от случайных атак шпионского ПО. (Хотя сотрудники Apple делают все возможное, чтобы этого избежать.) Если вы подозреваете, что на вашем iPhone есть шпионское ПО, не беспокойтесь, вы можете предпринять некоторые шаги, чтобы исправить это. Мы надеемся, что эта статья была для вас полезной и что вы будете в безопасности со своими приключениями на iPhone!
Как удалить шпионское ПО Pegasus?
На данный момент нет надежного способа удалить Pegasus. Неясно, сработает ли даже сброс к заводским настройкам, поскольку шпионское ПО может сохраняться на нижних уровнях системного кода.
Если ваш телефон заражен, лучшим решением может быть изменение устройства и номера. Конечно, новый Android или iPhone может быть легко взломан, как и ваш предыдущий, хотя Apple выпустила обновление iOS 14.7.1, которое, как считается, устраняет некоторые из задействованных эксплойтов.
Есть ли серьезные альтернативы телефонам iOS и Android?
На момент написания экосистема мобильной ОС страдает серьезным недостатком разнообразия, и даже усиленные форки Android, такие как Graphene OS или Calyx, могут не обеспечивать защиты. В этом случае может применяться сквозная безопасность, и основными альтернативами являются устройство под управлением Sailfish OS от Jolla или, возможно, Librem 5 с Pure OS.
Before you begin
1.1 Our commitment: 100% free and anonymous
You do not need to purchase a license before using the spyware detection tool. It is available without restriction when using iMazing in trial mode – there is no registration required, and no time limit to the trial.
1.2 Privacy and internet connectivity
The spyware analyzer will look for signs of infection in a backup of your iPhone or iPad. Both the backup process and the analysis of backup files happen locally only, on your computer — strictly none of your personal data is uploaded to our (or any third party’s) servers. iMazing will encourage you to enable backup encryption, which will further protect your personal data.
iMazing’s spyware analyzer requires an internet connection in order to:
- Download the latest IOCs (Indicators of Compromise)
- Expand shortened links such as this link to Amnesty International’s MVT project
You can learn more about iMazing’s security and privacy commitments here: Security & Privacy
1.3 Scope and limitations
- Pegasus (NSO): from https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/
- Predator (Cytrox): from https://github.com/AmnestyTech/investigations/blob/master/2021-12-16_cytrox/
As new relevant STIX files become available, they can be quickly added to iMazing’s default indicators of compromise without having to update the app. If you spot a new and relevant STIX file that isn’t listed here, please inform us.
Successful detection of more subtle infection patterns depends on logic that is contained in iMazing’s code. It is therefore important to make sure that iMazing is fully up to date before running a spyware check.
1.4 License: consensual use only
iMazing’s spyware detection tool is released under the same license as Amnesty International’s MVT, an adaptation of Mozilla Public License v2.0. This modified license includes a new clause 3.0, «Consensual Use Restriction», which permits the use of the licensed software exclusively with the explicit consent of the person/s whose data is being extracted and/or analysed («Data Owner»).
Pegasus: начало, или Лошадь в яблоках
О Pegasus узнали благодаря правозащитнику из ОАЭ Ахмеду Мансуру, который оказался одной из целей атаки с использованием «Пегаса». Его пытались поймать на целевой фишинг: Ахмед получил несколько SMS со ссылками, которые он счел подозрительными и переслал специалистам компании Citizen Lab для изучения. А те, в свою очередь, привлекли к расследованию другую компанию из области кибербезопасности — Lookout.
Мансур не ошибся: нажми он на одну из ссылок, его iPhone оказался бы заражен. Да, мы говорим про зловредов для iOS. Да, для iOS без джейлбрейка. Этот зловред получил имя Pegasus, и это самая сложная атака на конечного пользователя из всех, с которыми сталкивались специалисты компании Lookout.
Ну а слежку мы называем тотальной вот почему. Pegasus — это модульный зловред. Просканировав устройство жертвы, он загружает недостающие модули, чтобы читать SMS и электронную почту жертвы, прослушивать звонки, делать скриншоты, записывать нажатия клавиш, рыться в контактах и истории браузера и делать еще много чего. В общем, он может следить буквально за всем, что делает жертва на взломанном устройстве или рядом с ним.
В том числе Pegasus может прослушивать зашифрованные звонки и читать зашифрованные сообщения: фиксируя нажатия виртуальных клавиш, он считывает сообщения до шифрования, а захват экрана позволяет зловреду украсть входящие сообщения после расшифровки. То же с записью голоса и звука.
Pegasus хорошо умеет делать еще одну вещь — прятаться. Зловред самоуничтожается, если не может связаться с командным сервером более 60 дней или же если обнаруживает, что попал не на то устройство (с другой SIM-картой). Последнее очень даже объяснимо: Pegasus создан для целевого шпионажа, и клиентам, купившим зловреда у NSO, неинтересно следить за случайными людьми.
Железный конь для Android
Вероятно, разработчики Pegasus решили, что при таких-то бюджетах на разработку проекта грех ограничиваться одной платформой. С момента обнаружения версии для iOS прошло совсем немного времени, и специалисты Lookout нашли аналогичного зловреда и для операционной системы Google. На Security Analyst Summit 2017 представители компании рассказали о Pegasus для Android, или, как его называют в Google, о Хрисаоре (Chrysaor).
«Пегас» для Android, в отличие от iOS-версии, не эксплуатирует уязвимости нулевого дня. Вместо этого он использует Framaroot — давно известный способ получения прав суперпользователя на Android-устройствах. Это не единственное отличие: если попытка взломать iOS-устройство проваливается, вместе с ней неудачной оказывается и вся атака «яблочного» Pegasus. Однако Pegasus для Android на этом не останавливается: провалив попытку взломать систему скрытно, зловред начинает выпрашивать у владельца устройства права доступа, чтобы украсть хоть какие-то данные.
Google утверждает, что во всем мире от зловреда пострадало лишь несколько десятков устройств. Но так как речь идет о целевых атаках, это довольно большое число. Больше всего раз Pegasus для Android установили в Израиле, на втором месте Грузия, на третьем — Мексика. Также зловред был замечен в Турции, Кении, Нигерии, ОАЭ и других странах.
Скорее всего, вы вне опасности, но…
Когда мир узнал об iOS-версии Pegasus, Apple среагировала быстро и четко: выпустила обновление безопасности iOS 9.3.5, которое закрыло все три используемые Pegasus уязвимости.
Компания Google, помогавшая расследовать инциденты с Android-версией зловреда, пошла иным путем и связалась с потенциальными жертвами Pegasus напрямую. Если вы обновили свое iOS-устройство и не получали никаких уведомлений по теме от Google, то, скорее всего, вы вне опасности и никакой Pegasus за вами не следит.
Однако это не означает, что другое, пока неизвестное шпионское ПО не ищет себе новых жертв прямо сейчас. Существование Pegasus лишний раз доказывает: для iOS есть вредоносное ПО, и оно может быть гораздо сложнее, чем простенькие подпихиватели рекламы или надоедливые сайты, требующие выкуп с посетителей, которые очень легко закрыть. У нас есть три простых совета, которые помогут вам оставаться в безопасности:
Как распространяется Pegasus?
Pegasus обычно распространяется через текстовые сообщения, которые содержат ссылку на, казалось бы, законный веб-сайт или получают изображение, файл и т.д. Но это более сложный способ. Все фишеры среднего уровня могут создать законно выглядящий, но поддельный веб-сайт или отправить файл. В чем Pegasus блистает, так это в своей способности манипулировать и обходить средства контроля и защиты вашей системы. Несмотря на то, что внутренняя работа шпионской программы Pegasus окружена пеленой тайны, мы можем понять несколько шагов, как она работает. Pegasus обычно пытается манипулировать соединениями для отправки ссылок жертвам через доверенные источники (например, создавая впечатление, что они пришли от кого-то из их контактов).
Как только жертва нажимает на ссылку, загружает файл или предпринимает какие-либо действия, дело сделано. Если жертва перенаправляется на веб-сайт, загрузка и установка шпионского ПО может быть уже запущена в фоновом режиме. Если жертва загружает файл или фотографию, она может загрузить саму фотографию, а вместе с ней и шпионское ПО Pegasus. Поскольку Pegasus управляется дистанционно, даже если ваше устройство заражено им, это не означает, что вы стали мишенью. Цель хакеров и злоумышленников — найти жертву и установить программу на ее устройство, поэтому вы можете быть лишь промежуточной остановкой.