Существует огромное количество программ-шпионов для смартфонов. Не все их легко обнаружить, а многие даже невозможно, если созданием таких программ занимались истинные профессионалы. К примеру "известный в узких кругах" Pegasius.
Pegasus — шпионское программное обеспечение, разработанное израильской компанией "NSO Group", используется Израильскими спецслужбами для борьбы с терроризмом и преступностью.
Особенности Pegasus:
- позволяет незаметно устанавливать на мобильные телефоны и другие устройства, работающие под управлением некоторых версий мобильных операционных систем iOS и Android;
- даёт возможность читать текстовые сообщения, отслеживать вызовы, собирать пароли, отслеживать местоположение, получать доступ к микрофону и камере целевого устройства, а также собирать информацию из приложений.
Примечание: вопросы обнаружения Pegasius не входят в задачу этой статьи, будет отдельная статья про обнаружение в среде Linux!
Разработчики утверждают, что Pegasus разрабатывался только для целей уголовной и национальной безопасности. Существует мнение, что Pegasus использовался не по назначению: например, для слежки за журналистами, политическими активистами и главами государств.
В чем отличительная особенность Pegasus и почему его так трудно поймать
- Незаметное проникновение в смартфоны (iOS, Android) и сбор конфиденциальных данных. Трудность обнаружения связана с особенностями работы программы и мерами противодействия.
- Использование уязвимостей нулевого дня. Раньше для заражения требовалось, чтобы пользователь перешёл по ссылке, но теперь Pegasus заражает устройства даже без щелчка по ссылке. Например, вредоносный код внедряется через автоматически обрабатываемые файлы (GIF, PDF) в iMessage и WhatsApp.
- Маскировка сетевой активности. Программа подключается к серверам через подставные домены.
- Регулярное обновление. Pegasus регулярно обновляется, чтобы обходить патчи Apple и Google.
- Самоуничтожение при попытке обнаружения. Программа пытается уничтожить улики, если не может связаться со своим сервером управления в течение более 60 дней или если использует неправильное устройство.
В общем: Pegasus — это шпионское ПО, используемое спецслужбами для негласного и скрытого проникновения и наблюдения за зараженными объектами.
Именно то, что его не может обнаружить никакой антивирус, никакое другое ПО, по причине того, что Pegasus не имеет постоянно "сигнатуры" в виде постоянных участков кода, по которым его можно было бы обнаружить (он рандомно шифрует свое "тело"), он является самым трудноуловимым "шпионским" ПО в мире. Но это "на сегодня", когда данные о нем просочились в прессу. А сколько еще не "просочилось" о другом ПО? Об этом мы узнаем лет через 10-15...
В настоящее время в среде специалистов по криптобезопасности уже существуют методы обнаружения программ-шпионов, и мы сейчас познакомимся с одним из них (под Windows):
Обнаружение под Windows (iPhone)
Примечание: обнаружение Pegasus под Windows невозможно!
Программа предназначена для обнаружения иного известного шпионского ПО.
Установка софта
Скачайте установочный файл с адреса:
Примечание: ссылка размещена как не находящаяся в списке запрещенных Роскомнадзором. Результаты проверки ниже:
Запускаем инсталлятор
Далее оставляем все "по умолчанию" и даем программе установиться.
В процессе установки будет скачана база данных моделей устройств, с которыми программа может работать.
После установки подтвердите лицензионное соглашение и первый запуск:
Подключите свой iPhone и разблокируйте его.
Примечание: если вы впервые подключаете мобильное устройство к компьютеру, iMazing отобразит экран сопряжения. Сопряжение — это функция Apple, которая устанавливает безопасное соединение между вашим устройством iOS и компьютером. Для сопряжения необходимо ввести пароль на мобильном устройстве.
После подключения устройства выберете его, в меню "Инструменты" найдите пункт "Поиск шпионского ПО"
Введите куда и в каком формате сохранить отчет
Куда сохранять резервную копию устройства (у меня "c:\2")
Подтверждаете "Согласие на использование"
Начинается процесс копирования логов, создания резервной копии и поиска шпионского ПО
Примечание: вообще — это очень хорошее ПО по администрированию мобильных устройств!!! Побродите по меню, много полезного там увидите, до чего, обычным путем трудно "докопаться".
Какие-то функции закрыты до покупки лицензии, но "Поиск шпионского ПО" работает без оформления платной лицензии!
В частности, поиск следов известного "шпионского" ПО, это всего лишь одна из "фич" "iMazing".
Программа создает "слепок" системы и сканирует уже сделанный "слепок" системы на предмет наличия следов внедрения. Это сделано для того, чтобы Pegasus (и другое шпионское ПО) не обнаружил признаков сканирования и поиска и воспринял бы работу "iMazing" как работу обычного ПО для резервного копирования.
После завершения сканирования можно посмотреть отчет
На "подопытном" iPhone" он ничего не нашел
Собственно и не дожен был ничего найти. Я просто показал одну из самых доступных программ, в которой есть функции для обнаружения ПО наблюдения за смартфоном.
Если статья заинтересует читателей, то я опубликую иные методики и способы проверки смартфонов на наличие шпионского ПО, в т.ч. обнаружение Pegasius из под Linux (Mac).
Хочу заметить только одно, что "взломать" можно все, что угодно. Это не вопрос "невозможности", это вопрос "наличия денег", поскольку на взлом одного устройства может потребоваться затратить столько сил и средств, которые многократно будут превосходить стоимость тех секретов, которые с помощью этого "взлома" удастся добыть. Никто не будет тратить сотни тысяч долларов на то, чтобы узнать рецепт пирожков, который тетя Маша хранит у себя в записной книжке смартфона. Всегда присутствует вопрос "экономической целесообразности" взлома.
Так что, если вы - "простой Российский гражданин" и не храните никаких значимых секретов, то вы спецслужбам просто неинтересны и находитесь в безопасности. Ваши "секреты" не оцениваются в сумму, которая окупит сам процесс взлома.
А у наших "органов" давным-давно в наличие есть все нужное оборудование для получения и анализа данных с любого мобильника. Взять хотя бы тот же "UFED".
UFED (Universal Forensic Extraction Device) — серия продуктов израильской компании Cellebrite для извлечения криминалистических данных с мобильных устройств.
Некоторые продукты серии UFED:
- UFED Touch Ultimate — комплексное решение для извлечения, декодирования, анализа данных и составления отчётов;
- UFED 4PC — программный комплекс для криминалистического исследования данных, полученных из мобильных устройств, на ПК или ноутбуке.
Причем эти устройства можно даже купить с рук, поскольку для их покупки за рубежом не требуется предъявлять справку сотрудника спецслужб.
Продолжение следует...