Кто шпионит через смартфоны

Когда речь заходит о слежке через смартфон, многие вспоминают городскую легенду о приложениях соцсетей, которые подслушивают пользователя через микрофон и потом показывают связанную с подслушанным рекламу. Исследование «Лаборатории Касперского» опровергло этот миф, хотя, как пишет Forbes, известны случаи произвольной активации голосовых помощников. Однако подслушивание всё же возможно — в рамках целевого шпионажа через специальное ПО. Для этого существуют как секретные государственные программы, так и инструменты, доступные как полицейским, так и излишне любопытным супругам.

Чтобы получить доступ к микрофону, геолокации и прочим сенсорам, легитимное приложение должно запросить разрешение у пользователя. Нелегитимному же приложению получить такое разрешение незаметно довольно сложно. Поэтому шпионские программы обычно используют уязвимости — ошибки в ОС и приложениях, позволяющие скрытно установить на смартфон вредоносное ПО и выдать ему доступ высокого уровня. Иногда к смартфону жертвы получают физический доступ.

Дистанционная атака обычно выполняется через вредоносные MMS, iMessage или сообщения в WhatsApp, прочтение которых автоматически запускает вредоносный код. В более простом варианте жертве присылают ссылку на сайт, посещение которого приводит к компрометации смартфона.

Чтобы достичь этого, атакующим нужны работоспособные эксплойты, то есть код для эксплуатации уязвимости. Apple и Google постоянно повышают защищённость своих ОС и устраняют ошибки, поэтому атакующим приходится разрабатывать или покупать новые, всё более сложные эксплойты.

О государственных программах смартфонной слежки известно мало, и в основном из утечек в СМИ. Наиболее детально документированы программы США и Великобритании — о них стало известно из утечек Эдуарда Сноудена, а в 2024 году блог Malwarebytes Labs опубликовал информацию о похожих программах Китая.

АНБ с помощью серверов своей программы QUANTUM перехватывало легитимные соединения смартфонов с веб-серверами и отправляло устройству вредоносное содержимое вместо нужного сайта. Какой набор эксплойтов отправить конкретному смартфону, чтобы его скомпрометировать, решала отдельная платформа эксплуатации FOXACID. На устройства устанавливалось модульное вредоносное ПО WARRIOR PRIDE, компоненты которого назывались «смурфиками». Конкретные жертвы этих атак неизвестны.

А вот с самой свежей из известных атак на iPhone всё наоборот — жертва известна, это «Лаборатория Касперского». Рабочие смартфоны сотрудников заражались шпионским ПО при помощи невидимого iMessage. Вредоносный код мог похищать переписку и записывать разговоры через микрофон. В атаке использовались четыре ранее неизвестных уязвимости, одна из которых находится прямо в процессоре Apple. В день публикации об этой атаке ФСБ выпустила предупреждение о заражении iPhone и обвинила Apple в сотрудничестве с американскими спецслужбами.

С ростом популярности смартфонов сформировался и рынок коммерческих компаний, разрабатывающих шпионские программы. Они продают доступ силовым структурам различных государств, которые не имеют ресурсов на самостоятельную разработку. В известных случаях доступ предоставляется в виде постоянно поддерживаемой онлайн-платформы за абонентскую плату. Наиболее известные шпионские платформы такого типа — Pegasus от NSO Group и Predator от Cytrox/Intellexa.

Доступ к шпионским платформам приобретали правительственные структуры десятков стран — от Австрии и Армении до Пакистана и Сингапура. Масштаб применения коммерческого spyware достаточно большой — по данным Amnesty International, в 2021 году список жертв платформы Pegasus содержал 50 тысяч телефонных номеров.

Среди известных жертв Pegasus — премьер-министр Испании Педро Санчес, более 30 журналистов лондонского отделения Al Jazeera, мексиканский наркобарон Эль Чапо и, весьма вероятно, основатель Amazon Джефф Безос.

Как пишет Inside Story, в 2023 году использование Predator было подтверждено в Греции, где шпионское ПО нацеливали на политиков, бизнесменов и журналистов. По данным The Washington Post, также были попытки установить его на смартфоны американских сенаторов.

Хотя разработчики шпионского ПО всегда подчёркивают, что оно продаётся только спецслужбам и только для борьбы с тяжкими преступлениями, на практике оно используется для преследования гораздо более широких интересов. Из-за неразборчивости в выборе клиентов и Intellexa, и NSO Group были подвергнуты санкциям в США.

Даже те, кто не ведут политическую деятельность, законопослушны и не работают в компаниях оборонки, могут стать объектами слежки — со стороны любопытных домочадцев или коллег. Приложения для такого шпионажа имеют общее название stalkerware или spouseware и по своим возможностям весьма напоминают троянцев на госслужбе. Основное отличие в том, что ревнивый супруг или другой атакующий вручную устанавливает приложение на смартфон жертвы и даёт шпиону все необходимые права, позволяющие скрыть слежку. Поэтому для работы stalkerware не нужны программные уязвимости.

Компании-разработчики приобретают печальную известность, когда допускают утечку данных, украденных со смартфонов жертв. Такие случаи происходят регулярно. Крупные утечки только за 2024 год допустили производители mSpy, pcTattletale, TheTruthSpy. Они затронули несколько миллионов человек, включая судей, военных и других людей, чьи профессии требуют повышенной конфиденциальности. Причина утечек в том, что производители stalkerware нередко хранят данные на плохо защищённых серверах и годами не устраняют на них уязвимости и ошибки конфигурации.

Неудивительно, что магазины приложений и даже регуляторы разных стран постепенно запрещают разработку и распространение такого софта.

Даже полный отказ от смартфона не гарантирует безопасность. Известны случаи слежки за ближайшим окружением интересного человека, как это было, например, с министром финансов Греции.

Но значительно затруднить атаку на свой смартфон всё же можно. Для этого нужно выбрать модель, быстро получающую обновления операционной системы (Apple iPhone, Google Pixel) и устанавливать эти обновления сразу же после их выхода. Так же оперативно нужно обновлять ключевые приложения: Chrome, WhatsApp, Telegram и так далее.

Кроме того, важно настроить безопасность смартфона: установить быструю автоблокировку экрана, биометрическую защиту и длинный пароль на вход в устройство, двухфакторную аутентификацию на важных аккаунтах. Для Android важно отключить установку приложений из сторонних источников.

Пользователям iPhone, которые считают, что им угрожают серьёзные кибератаки, рекомендуется включить Lockdown Mode. Это целый набор ограничений, который усложняет атаку на iPhone ценой некоторого ухудшения функциональности: вложения в iMessage не работают, кабель можно использовать только для зарядки, а не для передачи данных, многие функции Safari отключаются.

И, конечно, не забывайте о мерах физической безопасности — никогда не оставляйте свой смартфон без присмотра и не давайте его посторонним.