Как работают шпионские компьютерные программы и существует ли от них защита

На днях в Чехии разгорелся скандал. Президент республики Милош Земан заявил о прослушке контрразведкой его сотрудников. Это ещё один случай в череде аналогичных инцидентов в Европе. В конце августа Европейский суд по правам человека приступил к изучению жалобы на прослушку парламентариев Великобритании. В июле президент Франции Эммануэль Макрон отказался от одного из своих смартфонов из-за подозрения в слежке с помощью системы Pegasus. Изучением вопроса слежки за журналистами и политиками через программное обеспечение уже занялась Еврокомиссия. С призывом привлечь к уголовной ответственности владельца софта — израильскую NSO Group — ранее выступил его разработчик, бывший сотрудник американских спецслужб Эдвард Сноуден.

Подобный скандал с другим израильским производителем ПО разгорелся в марте 2021 года и в России. Компания Cellebrite, несколько лет предоставляющая услуги по взлому смартфонов МВД РФ, заявила о прекращении сотрудничества с российскими спецслужбами якобы из-за давления на оппозиционеров. Вместе с экспертами RT разобрался, как работают шпионские софты и как можно защитить свой гаджет.

Тот или иной объём информации утекает с наших устройств постоянно, и к этому надо относиться спокойно, говорят эксперты.

«Ваш смартфон вовсю фонит данными. Сами устройства, iPhone и Android, передают телеметрию, например голосовые помощники записывают обстановку вокруг пользователя, — объясняет специалист лаборатории компьютерной криминалистики Group-IB Игорь Михайлов. — Телеметрия — очень обтекаемое понятие, под которым может скрываться что угодно. Долгое время компании не раскрывали, какие именно данные они получали с помощью телеметрии», — пояснил Игорь Михайлов.

Что же касается взлома смартфонов, то для этого существует несколько технологий, которые определяются стоящими перед заказчиком задачами, а они могут быть самыми разными. Наиболее распространённые цели использования шпионских приложений — слежка за бизнес-партнёрами или супругами. Достаточно вбить в поисковике нужный запрос, как тут же появляется целый список шпионских программ для iPhone и Android.

При этом данные можно скачать как непосредственно с самого скомпрометированного шпионской программой устройства, так и из облачного хранилища. Перехватить информацию можно и при её передаче.

Однако без человеческого фактора тут не обойтись. Для внедрения таких программ нужен физический доступ к устройству, потому что они устанавливаются непосредственно на смартфоны.

Но, если приложение уже остановлено, обнаружить его непросто: в интерфейсе устройства оно не отображается. Но «шпион» работает не за спасибо, а по платной подписке за использование. Иногда, рассказывают эксперты, разработчики подобных софтов прибегают к шантажу, и когда пользователь перестаёт платить, иконка приложения проявляется на устройстве — таким образом человек узнаёт о слежке за ним.

Шпионаж без границ

Помимо специальных приложений для шпионажа, злоумышленники используют другие пути.

«Сейчас один и тот же вредоносный софт совмещает в себе обширный функционал: функционал банковского трояна для хищения денежных средств, функционал шпионской программы для слежения за пользователем. Программы сейчас могут всё. Помимо прочего, злоумышленники используют полученную информацию и данные для вымогательства», — рассказал специалист Group-IB.

В сентябре 2014 года произошла масштабная утечка откровенных фотографий голливудских звёзд. По данным следствия, хакер рассылал своим жертвам письма от имени Google или Apple с просьбой подтвердить свои логины и пароли. После того как жертва переходила по предложенной ссылке, злоумышленник получал доступ к личной информации пользователя, в том числе фотографиям интимного характера. Впоследствии ФБР задержало хакера, его приговорили к девяти годам лишения свободы.

Мобильные трояны в основном создаются под Android, потому что их намного проще заразить. Пользователю достаточно по ошибке зайти на сайт, который не является официальным магазином Google, и установить вирусное приложение на своё устройство. По словам Михайлова, с Apple такой номер не пройдёт: iPhone просто не даст скачать приложение со стороннего ресурса.

При этом Apple работает с правоохранительными органами и по их запросу (форма доступна на официальном сайте компании) выдаёт все данные о пользователе, которые у неё есть. Как правило, это резервные копии. Дважды в год Apple публикует отчёт и раскрывает количество присланных со всего мира правительственных запросов. Так, за первое полугодие 2020 года Apple получила 1055 запросов от правоохранительных органов из России и предоставила данные на 884 из них.

Сообщение-невидимка

На мировом уровне правительства разных стран используют так называемое шпионское ПО для поимки террористов и преступников. Безусловными лидерами отрасли цифровой разведки стали разработки двух израильских компаний — программы Pegasus и Cellebrite. Эти продукты продаются исключительно сотрудникам правоохранительных органов и военным.

«Человек и его информация должны представлять определённый интерес, потому что покупка лицензии на подобный софт очень дорогая», — разъяснил Игорь Михайлов.

По информации, опубликованной газетой The New York Times, только установка Pegasus в 2016 году обошлась в $500 тыс., а слежка за десятью пользователями iPhone или Android стоила дополнительные $650 тыс.

Зато, в отличие от шпионского «ширпотреба», Pegasus устанавливается на устройство удалённо. Делается это с помощью отправки объекту слежки специального сообщения, сформированного программой. Причём его даже не нужно открывать, а тем более переходить по каким-либо ссылкам: сообщение тут же самоликвидируется, а устройство переходит под контроль правоохранителей, рассказал RT специалист Group-IB.

Cellebrite такого функционала не имеет, но её стоимость значительно ниже, чем у Pegasus. Так, ярославское управление СК в 2020 году потратило на закупку комплекса UFED Touch2 935 тыс. рублей, а хабаровское на продление лицензии на софт — 2,6 млн. Случаи покупки и применения в России Pegasus неизвестны.

Cellebrite реализована в виде комплекса UFED Touch — программы, устанавливаемой на компьютере правоохранителей. Чтобы получить данные с устройства, оно должно оказаться в физическом доступе для правоохранителей, если это iPhone, он должен быть разблокирован. Последнее условие, по словам эксперта, является ключевым: без разблокировки данные извлечь невозможно. Устройств на базе Android это не касается, так как при определённых обстоятельствах извлечь данные можно и из заблокированного смартфона под управлением ОС Android.

Технология обнаружения

По словам Игоря Михайлова, если у пользователя топовый iPhone или Android с последними обновлениями безопасности, извлечь его данные будет намного сложнее. Но и технологии взлома не стоят не месте.

«Сейчас идёт соревнование брони и снаряда. Фотографии, СМС, телефонную книгу скопировать достаточно легко. А вот из мессенджеров сложно получить информацию. Например, данные WhatsApp попадают в резервную копию, а данные Telegram — нет», — пояснил эксперт.

При этом он подчеркнул, что, как правило, владельцы мобильных устройств не могут самостоятельно детектировать установленные на них шпионские программы. Для этого они должны обладать определёнными знаниями и инструментами (программным обеспечением, позволяющим выявить шпионские программы на мобильном устройстве).

В частности, существуют проекты, с помощью которых можно сделать резервную копию своего смартфона и проверить её через программу MVT. Если устройство заражено, она это выявит. Когда компания Cellebrite стала активно распространять информацию, что её софт способен извлечь данные из мессенджера Signal, его разработчик в ответ выпустил приложение LockUp, позволяющее предотвращать попытки подключения Cellebrite к Android. Но эта программа настроена на стирание данных при попытке их извлечения, иногда неправильно считывает сопряжение с компьютером и может перепутать его с Cellebrite.

В случае если у человека есть основания полагать, что на его смартфоне установлено шпионское ПО (не обязательно правоохранительными органами), стоит обратиться в криминалистические лаборатории, которые проведут анализ функционала приложений, установленных на мобильном устройстве, посоветовал Михайлов.

«При подозрении в заражении смартфона надо ориентироваться на несколько признаков. Например, телефон стал сильно греться и неожиданно перезагружаться, возросла скорость разрядки. Также стоит обратить внимание на увеличение расхода трафика, если у вас лимитированный тариф. Всё это признаки того, что на устройстве установлено шпионское ПО», — уточнил эксперт.

Преступление без наказания

В каждой стране есть свои законодательные ограничения на применение различных технологий взлома смартфонов и ответственность за их нарушение. В России это предусматривается ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Максимальное наказание за совершение этого преступления — семь лет лишения свободы.

В России шпионские программы запрещены. Для использования криминалистического софта сотрудниками правоохранительных органов и силовых ведомств существует определённый порядок действий, регламентированный законом, пояснил RT эксперт Group-IB.

«Если специальное ПО применяется в рамках следственной деятельности, это оформляется специальными протоколами. Несанкционированно это сделать достаточно проблематично, — рассказал эксперт. — При проведении негласных оперативных действий человека никто не ставит в известность о проверке его устройств. В случае гласных действий его могут попросить разблокировать телефон, дальше сотрудники скопируют необходимые им данные и вернут устройство владельцу».

«При помощи мобильного комплекса по сбору и анализу цифровых данных UFED в 6370 случаях из мобильных устройств была извлечена информация, имеющая значение для уголовного дела», — говорится в сообщении ведомства.

Российские силовые структуры закупали Cellebrite до марта 2021 года. А потом компания объявила, что прекращает продажи в РФ, из-за того что её софт использовался российскими спецслужбами для преследования оппозиционеров, ЛГБТ-активистов и представителей этнических меньшинств.

Однако без использования Cellebrite в следственных действиях число преступлений может возрасти, в связи с тем что доказать вину преступников будет сложнее.

«Телефоны используют не только оппозиционеры, но и криминальные элементы. И сейчас правоохранительные органы лишены возможности исследовать их устройства. Часть людей, которых стоило бы наказать, не накажут. Отрезав Россию от передовых технологий, нам усложнили возможность бороться в том числе с отечественным киберкриминалом и защищать другие государства от действий российских преступников», — утверждает специалист Group-IB.

Выявить и обезвредить

В беседе с RT Владимир Макаров, главный специалист аудита отдела информационной безопасности T.Hunter, рассказал об основных инструментах шпионских программ на примере легального софта для открытого использования.

По словам эксперта, шпионское программное обеспечение практически полностью повторяет легальные приложения для родительского контроля.

«Софт от компании NSO Group, так называемый Pegasus, по функционалу, можно сказать, схож с легитимными программами для родительского контроля. Это ПО сертифицировано, прошло все необходимые уровни контроля со стороны специалистов по информационной безопасности, разработано профессионалами. И оно отображает, какие данные о вас в данный момент собираются», — отметил Макаров.

При этом программы, которые предоставляет NSO Group, устанавливаются без ведома пользователя, уточняет эксперт.

«То есть приходит фишинговое СМС, если человек переходит по ссылке, то ему благодаря уязвимости операционной системы Android и Apple устанавливается это программное обеспечение на телефон. Дальше те, кто купил этот софт, получают полный доступ к смартфону пользователя», — поясняет Макаров.

По словам Макарова, злоумышленники с этого момента получают исчерпывающие данные о функционировании аппарата: можно посмотреть время его использования, основные приложения, которые на нем установлены. Доступна также статистика использования приложений, тексты СМС-сообщений, информация по звонкам, геолокационные данные.

«Также всё это мы можем включать и выключать удалённо на этом устройстве, когда на нём есть доступ в интернет, и изучать маршрут следования, если устройство перемещалось», — добавил эксперт.

Чтобы обезопасить себя от нежелательного контроля, Владимир Макаров советует не пренебрегать стандартными антивирусными системами. В случае подозрения во взломе он рекомендует выполнить несколько простых шагов. По его словам, скрытое наблюдение, если оно уже было установлено на смартфон, несложно определить по определённым признакам.

«Первый шаг — проверить, не совершает ли ваш телефон какие-то непонятные действия. Возможно, он начинает сильнее нагреваться, быстрее разряжается аккумулятор, совершаются какие-то звонки, СМС или же сеансы входа в мессенджер. Возможно, удаляются какие-то сообщения либо картинки могут перемещаться по папкам», — продолжает Макаров.

Главный признак того, что вредоносное ПО маскируется под системный процесс, — начинают расходоваться мощности вашего телефона. По словам Владимира Макарова, если хозяин телефона заметил это, ему следует немедленно установить антивирусное ПО. В половине случаев даже стандартным антивирусным программам в смартфоне под силу справиться со шпионскими разработками NSO Group.

«Но, как говорится, самый главный антивирус находится у нас в голове — это не переходить по непонятным ссылкам, не открывать непонятные письма в электронной почте, даже если вам прислал их ваш друг, коллега, но вы его об этом не просили», — заключил Макаров.