А ваш iPhone уже взломали?

Новости Угрозы

Хорошо известно, что 98% вредоносных программ для смартфонов создано под платформу Android. Причина довольно проста — на конкурирующей iOS пользователи могут устанавливать программы только из курируемого магазина приложений App Store, и Apple довольно эффективно препятствует тому, чтобы в App Store попадали вредоносные приложения. Правда, это верно только для массовых вредоносов, создателям которых безразлично, на какой смартфон попадет троянское приложение. Совсем другое дело, когда кто-то решит шпионить лично за вами. Хотя здравый смысл подсказывает, что объектами слежки могут быть преступники, бизнесмены или политические активисты, на практике круг жертв шире. Возможно, вы попадете в круг «подозрительных» или «интересных» по другим критериям — мы вернемся к этому позже. В этом случае спецслужба может заразить и ваш iPhone.

А ваш iPhone уже взломали?

Во многих странах, правоохранительные органы и спецслужбы способны проникать в компьютер подозреваемого или его смартфон для «мониторинга» или сбора доказательств. Чтобы сделать это, спецслужбы используют так называемые «легальные» шпионские программы, и есть целые международные компании, официально разрабатывающие и продающие такие приложения. Одна из таких компаний, итальянская фирма HackingTeam, разрабатывает «систему удаленного контроля» (Remote Control System, RCS), также известную как Galileo. «Лаборатория Касперского» уже два года наблюдает за частью инфраструктуры RCS и встречала «импланты», то есть вредоносные программы для Windows и Mac OS производства этой фирмы. Во вредоносных файлах было много намеков на то, что существуют и «импланты» для смартфонов, но у нас не было возможности получить их образцы. Во время недавнего исследования, проведенного в партнерстве с Морганом Марк-Буаре (Morgan Marquis-Boire) из Citizen Lab, были обнаружены новые варианты вредоносных программ. Это по сути троянские программы для смартфонов, которые работают как на Android, так и на iOS.

Троянец для iOS

Одно из основных открытий, сделанных при исследовании RCS, — это метод, который используется для заражения iPhone. Сначала компьютер жертвы заражается вредоносным приложением для Windows или Mac OS. Схема заражения каждый раз отличается, в нее могут входить социальная инженерия, эксплойты и фишинг. Троянец скрытно работает на компьютере, выполняет обычную шпионскую работу вроде кейлоггинга и ждет, пока жертва подключит свой смартфон для синхронизации с iTunes. Если оператор, заведующий слежкой через троянца, одобрит эту операцию, то троянец пытается скрытно взломать подключенный iPhone с помощью джейлбрейка, а затем установить на него шпионские компоненты. На этом этапе iPhone перезагружается, и это единственный видимый признак произошедшего. iOS-троянец довольно умен и использует множество логических триггеров, чтобы шпионить незаметно. Например, работать только поблизости от определенной сети Wi-Fi или только во время подзарядки смартфона. Шпион не оказывает значимого влияния на батарейку, поскольку это может насторожить жертву.

iOS-троянец шпионит очень скрытно, например минимально влияет на разряд аккумулятора.

Мобильные троянцы RCS способны на все виды шпионажа, которых можно ожидать от такого инструмента, включая отслеживание местоположения, съемку встроенной камерой смартфона, чтение SMS и переписки в WhatsApp и подобных мессенджерах, кражу адресной книги и т.п.

Конечно, существуют ограничения, из-за которых атака на конкретный iPhone может быть невозможна. Во-первых, устройство должно работать с iOS той версии, для которой есть джейлбрейк. Например, его пока нет для свежайшей версии iOS, но есть для предыдущих. Во-вторых, в момент взлома устройство должно быть разблокировано (введен пароль). Конечно, эти условия выполняются достаточно часто, поэтому нет сомнений, что у операторов шпионской программы вполне достаточно объектов для слежки.

Жертвы

В список жертв, известных исследователям «Лаборатории Касперского» и Citizen Lab, входят активисты и борцы за права человека, журналисты и политики. Правда, природа интереса к ряду жертв неизвестна, например, среди них есть учительница истории в старших классах английской школы.

http://instagram.com/p/poDiSzP0I1/

Большая часть обнаруженных управляющих серверов RCS расположена в США, Казахстане, Эквадоре, Великобритании и Канаде. Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского», сказал: «Присутствие серверов в стране не означает, что они используются местными спецслужбами. Но для пользователей RCS имеет смысл размещать серверы в месте, им подконтрольном, чтобы минимизировать риски трансграничных юридических разбирательств и изъятий серверов».

Защита

Чтобы снизить риски заражения, эксперты «Лаборатории Касперского» рекомендуют не взламывать свой iPhone и оперативно обновлять iOS до самой свежей доступной версии. Дополнительная защита, значительно снижающая риски заражения, — это использование надежного приложения класса Internet Security на вашем ПК или Mac.