В последние годы коммерческое шпионское ПО стало использоваться большим числом акторов против широкой аудитории жертв, но общее мнение по-прежнему заключается в том, что такое ПО применяется в целевых атаках на крайне ограниченное число людей. При этом проверка устройств на наличие инфекций была затруднена, и пользователям приходилось обращаться в различные академические учреждения и НПО, которые занимались разработкой методов обнаружения мобильного шпионского ПО.

Во вторник компания по безопасности мобильных устройств iVerify опубликовала результаты функции обнаружения троянов, запущенной в мае. Из 2500 просканированных устройств, которые клиенты компании согласились предоставить для проверки, на семи выявили инфекции печально известным вредоносным ПО Pegasus от NSO Group.

Функция компании Mobile Threat Hunting использует комбинацию обнаружения на основе сигнатур вредоносного ПО, эвристических методов и машинного обучения для поиска аномалий в активности на устройствах под управлением iOS и Android или характерных признаков инфекции шпионским ПО. Для платных клиентов iVerify этот инструмент регулярно проверяет устройства на возможные компрометации. Однако компания также предлагает почти бесплатную версию для всех, кто загрузит приложение iVerify Basics за 99 рублей. Эти пользователи могут пройти шаги по созданию и отправке специального диагностического файла в iVerify и получить анализ устройства в течение нескольких часов. Такие пользователи могут использовать инструмент раз в месяц.

Инфраструктура iVerify построена с учётом сохранения конфиденциальности, но для запуска функции Mobile Threat Hunting пользователи должны ввести адрес электронной почты, чтобы компания могла связаться с ними в случае обнаружения шпионского ПО — как это произошло в семи недавних случаях выявления Pegasus.

«Действительно удивительно, что люди, которые были целью, — это не только журналисты и активисты, но и бизнес-лидеры, управляющие коммерческими предприятиями, лица, занимающие государственные должности», — говорит Рокки Коул, операционный директор iVerify и бывший аналитик Агентства национальной безопасности США.

Семь обнаруженных троянов из 2500 просканированных устройств может показаться небольшим числом, особенно среди пользователей iVerify, которые уже проявляют повышенное внимание к безопасности своих мобильных гаджетов. Однако тот факт, что инструмент уже обнаружил несколько инфекций, свидетельствует о том, насколько широко распространено использование шпионского ПО по всему миру. Наличие простого инструмента для диагностики компрометации шпионским ПО может расширить понимание того, как часто используется такое средство заражения.

iVerify отмечает, что разработка этого инструмента обнаружения потребовала значительных инвестиций, поскольку мобильные операционные системы, такие как Android, и особенно iOS, более закрыты, чем традиционные настольные ОС, и не позволяют программам мониторинга иметь доступ к ядру системы. Коул говорит, что ключевым моментом было использование телеметрии, полученной как можно ближе к ядру, для настройки моделей машинного обучения. Некоторые шпионские программы, такие как Pegasus, также имеют характерные признаки, которые облегчают их обнаружение. В семи случаях обнаружения функция Mobile Threat Hunting выявила Pegasus с помощью диагностических данных, журналов выключения и логов сбоев. Однако, по словам Коула, основной задачей является улучшение инструментов мобильного мониторинга для снижения числа ложноположительных результатов.

Разработка этой возможности уже оказалась бесценной. Коул сообщает, что она помогла iVerify обнаружить признаки компрометации на смартфоне Гурпатванта Сингха Паннуна, юриста и сикхского политического активиста, который стал мишенью предполагаемой, предотвращённой попытки убийства сотрудником индийского правительства в Нью-Йорке. Функция Mobile Threat Hunting также зафиксировала подозрительную активность со стороны государств на мобильных устройствах двух сотрудников предвыборной кампании Харрис-Уолца — старшего члена команды и сотрудника ИТ-отдела — во время президентской гонки.

Как проверить iPhone на наличие шпионского ПО Pegasus

Компания iVerify предлагает корпоративным клиентам и другим организациям услугу подписки, в рамках которой сканирование устройств проводится на постоянной основе. Но и индивидуальные владельцы смартфонов могут проводить ежемесячное сканирование.

Компания также предлагает базовую версию этой функции для тех, кто загрузит приложение iVerify Basics за 99 рублей. Эти пользователи могут пройти шаги по созданию и отправке специального диагностического файла и получить анализ в течение нескольких часов. Такие пользователи могут использовать инструмент один раз в месяц.

Загрузить приложение, если вы готовы отправить отчёт компании, для iOS можно здесь, а для Andoid – по этой ссылке.


Ещё по теме: