Эволюция шпионского софта под iOS

Среди некоторых пользователей распространено мнение, что смартфоны под iOS лучше защищены от бэкдоров и вредоносного ПО, чем смартфоны Android. Отчасти это справедливо. Софт в каталоге App Store более жёстко модерируется, так что у обычных граждан меньше шансов подхватить зловреда. Но с точки зрения уязвимостей операционная система iOS совсем не уступает другим ОС. Соответственно, и вредоносные программы для неё создают регулярно.

Под iOS создаётся коммерческий шпионский софт, который применяется на государственном уровне против конкретных граждан — гражданских активистов, журналистов, бизнесменов. В нём применяют более интересные уязвимости и изощрённые эксплоиты, чем в обычных троянах.

Для обнаружения таких зловредов требуются специальные инструменты.

От Pegasus до Predator

На недавней хакерской конференции 38th Chaos Communication Congress (38С3) выступил Маттиас Фрилингсдорф (Matthias Frielingsdorf), основатель и вице-президент компании iVerify, который специализируется на вредоносных программах и эксплоитах iOS. Он представил доклад «От Pegasus до Predator: эволюция коммерческого шпионского ПО для iOS» ^[2] с исторической ретроспективой индустрии коммерческих зловредов для iOS (видео ^[3]).

Под коммерческим шпионским ПО подразумевается то, которое создаётся хакерскими компаниями вроде NSO Group ^[4] преимущественно для государственных заказчиков и правоохранительных органов.

Такой софт часто использует 0day-уязвимости в последних версиях ОС и устанавливается методом 0-Click или 1-Click, например, по нажатию на ссылку в мессенджере или вовсе без нажатия, просто по факту приёма сообщения срабатывает цепочка эксплоитов.

Коммерческий шпионский софт также отличается сложностью в обнаружении.

Истоки индустрии датируются 2016-м годом, когда был обнаружен первый экземпляр шпионского зловреда Pegasus под iOS 9.

С тех пор произошли значительные изменения в методах создания и обнаружения. Сами программы тоже стали более изощрёнными. Например, в 2021-м году новый эксплоит Pegasus ForcedEntry под iOS 14 уже использовал мессенджер iMessage:

А в 2022-м он научился притворятся нормальным системным процессом в iOS и освоил другие техники скрытия активности в системе.

В докладе рассматриваются следующие темы:

• Эволюция шпионского ПО (2016-2024 гг). Анализ ключевых эксплоитов, тактик, техник и процедур (TTP), векторов заражения и индикаторов компрометации (IOC) позволяет проследить, как усложнялось шпионское ПО и какие изменения привели к появлению современных сложных угроз.

  Важными вехами стали таргетированные атаки на уйгуров в Китае со шпионским ПО от компании i-Soon ^[5] (2019), шпионские программы Predator (2021) и Predator 2 (2023), зловред Hermit (2022) с жертвами в Казахстане и Италии, эксплоит Pegasus BlastPass (2023), а также операция «Триангуляция» ^[6] (2023) против сотрудников «Лаборатории Касперского» с использованием аппаратного бэкдора iPhone и самых продвинутых техник скрытия следов в системе.

  

• Достижения в области обнаружения. По мере того как шпионские программы становились более изощрёнными, совершенствовались и возможности их обнаружения:

  

  В докладе рассмотрены основные игроки, общественные организации и инструменты, которые способствовали развитию средств обнаружения шпионских программ. Приведён также пример обнаружения и анализа цепочки эксплоитов BlastPass от NSO.

  Например, упоминается программное обеспечение Mobile Verification Toolkit ^[7] (MVT) для анализа бэкапов, разработанное технической лабораторией правозащитной организации Amnesty International. Распространяется под iOS и Android, с открытыми исходниками ^[8]. Также упоминается инструмент Sysdiagnose ^[1] для компьютерной криминалистики под iOS:

  

  К сожалению, эти инструменты слишком сложны для обычных пользователей, которые не знают хотя бы Python.

• Текущие и будущие задачи. Заглядывая в будущее, рассматриваются насущные проблемы в области обнаружения шпионского ПО и предположения, как коммерческое шпионское ПО может эволюционировать в ответ на новые меры безопасности и технологии.
• Рекомендации по исследованиям и обнаружению. В заключение предлагаются рекомендации по развитию методов и возможностей исследования и обнаружения для борьбы с коммерческими шпионскими программами.

Мобильная гигиена iOS

Если пользователю угрожает таргетированная атака, ему рекомендуется соблюдать следующие правила мобильной гигиены:

1. Всегда обновляться на последнюю версию ОС, включая бета-версии
2. Регулярно делать резервную копию iTunes Backup со сквозным шифрованием
3. Один или несколько раз в неделю запускать Sysdiagnose ^[1]
4. Проверять iCloud/iMessage на предмет уведомлений о безопасности от Apple
5. Часто перезагружать смартфон
6. Активировать режим блокировки ^[9]

Государственные бэкдоры

Можно добавить, что некоторые зловреды внедряются в смартфоны не со стороны злоумышленников, а по указанию правительства. Например, в феврале 2025 года правительство Великобритании потребовало от компании Apple установить бэкдор ^[10] в смартфонах, чтобы правоохранительные органы получили доступ к зашифрованной информации в iCloud. По сути, они хотят взломать Advanced Data Protection ^[11], опциональную функцию сквозного шифрования для бэкапов и других данных в iCloud.

Фонд электронных рубежей выступил с заявлением ^[12] против подобных практик. Исторические примеры показывают, что они ухудшают общую систему защиты и снижают безопасность пользователей, делая их уязвимыми для утечки конфиденциальных данных, взлома и мошенничества. Нет никаких сомнений, что бэкдоры будут использоваться не только правительствами демократических стран и не только в гуманных целях.

Apple не единственная компания, которая использует сквозное шифрование. Кроме неё, E2E применяется в некоторых вариантах резервного копирования Google, а также во многих мессенджерах и облачных сервисах для бэкапа. Если правительство Великобритании получит доступ к зашифрованным данным пользователей Apple через бэкдор, под угрозой окажутся другие сервисы безопасного обмена файлами, резервного копирования и мессенджеры.