СМИ: шпионское ПО Pegasus следит за пользователями iOS и Android, маскируясь под системные процессы

Лаборатория безопасности Amnesty International совместно с ведущими мировыми СМИ, включая The Guardian, The Washington Post и Reuters, опубликовали результаты обширного расследования о программном обеспечении Pegasus.

В течение нескольких лет оно удалённо собирало данные со смартфонов, маскируясь под системные процессы. Целями вируса называются активисты, журналисты и предприниматели из 11 стран, а разработчиком — израильская технологическая компания NSO Group.

Специалисты проанализировали 67 потенциально-заражённых устройств на iOS и Android, обнаружив в них следы взлома с подозрительными процессами. Pegasus использует так называемые уязвимости нулевого дня — недоработки или ошибки в операционной системе, которые производители не успели исправить.

Отмечается, что эксплойт позволяет следить за местоположением, записывать разговоры, копировать сообщения, делать снимки и скриншоты, отправляя данные на защищённый сервер.

Самую раннюю версию программы обнаружили в 2016 году. Тогда она распространялась с помощью обычного фишинга — текстовых сообщений или электронных писем с подозрительными ссылками. Приложение использовало три уязвимости iOS, которые Apple исправила в экстренном обновлении 9.3.5.

В 2019 году атаки производились через мессенджер WhatsApp — позже компания подтвердила уязвимость в сервисе видеозвонков. Злоумышленники могли запустить вредоносный код, просто совершив вызов на целевой телефон.

В отчёте зафиксировали и совсем недавние взломы iPhone от июля 2021 года. Заражённые устройства демонстрировали специфический сетевой трафик, связанный с приложениями Apple Photos и Music.

Исследователи безопасности предполагают, что новая версия Pegasus теперь работает в оперативной памяти телефона, а её деятельность тщательно маскируется.

Взлом позволяет злоумышленнику получить root-права с повышенными привилегиями. У Pegasus больше возможностей, чем у владельца устройства, и с этим ничего нельзя поделать.
Клаудио Гуарнери, Руководитель лаборатории безопасности Amnesty International

Интересно, что после публикаций первых отчётов в 2018 году NSO Group отключила большинство серверов и «ушла в тень». При этом в компании не опровергают подобных разработок, но заявляют, что их единственная цель — борьба с преступностью и терроризмом.

Подозрительные индикаторы, включая доменные имена, адреса электронной почты и названия процессов, исследователи опубликовали на GitHub. Они также представили утилиту Mobile Verification Toolkit (MVT), которая выявляет следы потенциального взлома.

Юристы NSO Group назвали технический отчёт домыслом, охарактеризовав его как «сборник спекулятивных и необоснованных предположений», но заявили, что будут расследовать неправомерное использование своих технологий.

#ios #android #уязвимости #безопасность #новости