«Легальное» шпионское ПО: еще опаснее, чем кажется

Угрозы

Для Android есть множество приложений для самых разных целей, в том числе для слежки. Часто они маскируются под программы для родительского контроля, но суть от этого не меняется: они позволяют следить за пользователем Android-устройства – мониторить список его звонков, входящие и исходящие сообщения, активность в соцсетях, историю посещенных сайтов и много что еще.

По набору функций они не сильно отличаются от тех инструментов, которыми пользуются самые настоящие шпионы, — например, от программного комплекса для слежки под названием Pegasus. При этом они считаются легальными, пусть даже их и не пускают в главный магазин Android-приложений – Google Play.

В чем различия между якобы легальным и вредоносным шпионским ПО?

Главное отличие якобы легальных шпионских решений от однозначно вредоносного ПО — метод установки на устройство. Чтобы «легальное» приложение для слежки работало, нужно вручную скачать его на то устройство, за которым устанавливается слежка, тогда как вредоносные шпионские программы могут проникнуть туда удаленно — для этого используются уязвимости в системе.

И из этого следует второе отличие: «профессиональные» вредоносные шпионские приложения значительно дороже, чем «любительские», якобы легальные. Просто потому, что проникновение в систему – задача довольно сложная. Для «любительских» шпионских программ эту сложную задачу решать не нужно, и цены на них ставят такие, чтобы обычный обыватель мог себе их позволить.

По сути, на этом различия и заканчиваются. Основная задача как тех, так и других шпионских программ — помочь своему клиенту завладеть как можно большим объемом ценной информации о пользователе устройства, на которое это ПО установлено. В случае «профессиональных» шпионских программ жертвы – обычно высокопоставленные сотрудники каких-нибудь компаний, тогда как «любительское» ПО такого сорта зачастую используется для слежки за супругами, партнерами по мелкому бизнесу и прочими близкими людьми, которым установивший программу пользователь почему-то не очень доверяет.

Несмотря на заявленную легальность, вы не найдете шпионские программы в Google Play — официальном магазине приложений для Android. Большинство из них можно скачать только с сайтов их разработчиков (для чего потребуется разрешить установку приложений из сторонних источников – а это небезопасно). Некоторые требуют еще и разблокировать на смартфоне доступ суперпользователя (это назвается «рутануть» смартфон – от слова root). О том, что такое «рутование» и стоит ли этим заниматься, мы рассказывали в отдельном материале. Здесь же приведем только краткий вердикт: это еще менее безопасно, чем ставить приложения их сторонних источников. Также приложения для слежки скрывают себя на устройстве, чтобы его владелец не догадался, что за ним следят: вы не найдете их в панели уведомлений или в списке установленных программ.

Яркий пример такого «полулегального» приложения для слежки – Exaspy. Оно привлекло к себе внимание после того, как было использовано для слежки за человеком, занимающим высокий пост в международной технологической компании. Приложение получало доступ к SMS, MMS, IM- и email-сообщениям, звонкам, фото, снимкам экрана, контактам, календарным записям, истории браузера и так далее. После скандала статус «легального» оно потеряло: его уже не найдешь обычным поиском – но можно найти полно других, похожих, примерно с тем же набором функций.

Что еще не так со шпионскими приложениями

Установка файлов из сторонних источников и «рутование» — это еще полбеды. Шпионская программа ворует данные и передает их человеку, который ее установил, но вот не факт, что она этим ограничивается.

Для передачи информации часто используется промежуточный сервер, принадлежащий разработчику программы, на который она загружает файлы, а потом оттуда они отправляются пользователю. В каком виде данные передаются на сервер – в шифрованном или нет? Как они там хранятся и обрабатываются? Могут ли сами разработчики получить доступ к той информации, которую шпионская программа загрузила на сервер? Ответы на эти вопросы для каждой программы разные, но в общем и целом ситуация неутешительная – на безопасность этих данных обычно никто внимания не обращает. Это касается как разработчиков, так и пользователей – доступ к данным защищают паролем, но он редко оказывается сложным и надежным.

Более того, когда вы даете приложению root-доступ, вы не знаете, на что, кроме указанного в описании приложения, вы подписываетесь. Например, при анализе того же Exaspy эксперты обнаружили, что операторы приложения могли мониторить файлы целевого смартфона и осуществлять их передачу, а также выполнять команды, чтобы повысить привилегии вредоносного приложения с помощью эксплойтов, не включенных в «базовый пакет».

Также эксперты «Лаборатории Касперского» исследовали одну из шпионских программ, свободно продающихся в Интернете, и выяснили, что на сервере, через который работает данное приложение, в открытом доступе лежит множество файлов с персональными данными. Программа закачивала файлы со «слитой» перепиской и прочими данными на сервер, и доступ к ним не был защищен даже паролем.

Как защититься от шпионских приложений для Android

Различных шпионских программ для Android много, они не очень дорогие, а найти их в Интернете не составляет никакого труда. Так что организовать слежку за кем-то довольно просто. Делать мы этого ни в коем случае не рекомендуем – по вышеописанным причинам, а вот защитить от слежки самого себя не помешало бы. Вот что вы можете сделать:

  • Всегда ставьте на телефон пароль, ПИН-код или хотя бы аутентификацию по отпечатку пальца, чтобы к нему нельзя было получить доступ без вашего ведома. Учтите, что в данном случае отпечаток пальца может быть не так надежен — пока вы спите, смартфон можно поднести к пальцу и разблокировать.
  • Используйте надежное защитное решение. Kaspersky Internet Security для Android определяет шпионское ПО как Not-a-virus (not-a-virus:Monitor.AndroidOS.* — если быть точным). Оно может быть невидимым для человеческого глаза, но хороший антивирус замечает его без проблем.