Pegasus: шпигунське ПЗ для iOS і Android | Блог Лабораторії Касперського
Користувачі Apple iPhone і iPad впевнені: вони в безпеці. Адже для iOS немає вірусів! По крайней мере, вони так вважають. Компанія Apple цю точку зору підтримує, не пускаючи в суверенний App Store антивірусні програми. Адже вони ніби як ні за чим і не потрібні. 
Ключове слово тут «ніби як» - насправді це помилка. Шкідливе ПО для iOS знаходили вже багато раз, а в серпні 2016 року дослідники виявили дуже небезпечного зловреда - шпигунське ПЗ Pegasus, здатне зламати будь-який iPad або iPhone, вкрасти дані з пристрою і встановити тотальне стеження за власниками. Дуже неприємне відкриття.
На Security Analyst Summit 2017 дослідники з Lookout повідомили, що Pegasus існує не тільки для iOS, але і для Android, причому версія для Android дещо відрізняється від своєї iOS-попередниці. Давайте ж трохи докладніше розберемо, що представляють собою обидва «Пегаса» і чому ми говоримо про тотальне стеження.
Про Pegasus дізналися завдяки правозахиснику з ОАЕ Ахмеду Мансуру, який виявився однією з цілей атаки з використанням «Пегаса». Його намагалися зловити на цільової фішинг: Ахмед отримав кілька SMS з посиланнями, які він вважав за підозрілими і переслав фахівцям компанії Citizen Lab для вивчення. А ті, в свою чергу, залучили до розслідування іншу компанію з області кібербезпеки - Lookout.
Мансур не помилився: натисни він на одну з посилань, його iPhone виявився б заражений. Так, ми говоримо про зловредів для iOS. Так, для iOS без джейлбрейка. Цей шкідник отримав ім'я Pegasus, і це найскладніша атака на кінцевого користувача з усіх, з якими стикалися фахівці компанії Lookout.
Дослідники сходяться в тому, що Pegasus створений NSO Group - ізраїльською компанією, яка заробляє на хліб розробкою шпигунського ПЗ. Це означає, що зловреда робили на продаж і будь-який бажаючий може його придбати. Шпигун експлуатує три zero-day в iOS, які дозволяють по-тихому провести джейлбрейк пристрою і встановити шпигунське ПЗ. Інша компанія зі світу кібербезпеки, Zerodium, свого часу пропонувала $ 1 млн за уразливість нульового дня в iOS. Можете уявити, у скільки обійшлася розробка Pegasus, - їх там аж три.
Ну а стеження ми називаємо тотальної ось чому. Pegasus - це модульний зловредів. Просканувавши пристрій жертви, він завантажує відсутні модулі, щоб читати SMS та електронну пошту жертви, прослуховувати дзвінки, робити скріншоти, записувати натиснення клавіш, ритися в контактах і історії браузера і робити ще багато чого. Загалом, він може стежити буквально за всім, що робить жертва на зламаному пристрої або поруч з ним.
У тому числі Pegasus може прослуховувати зашифровані дзвінки і читати зашифровані повідомлення: фіксуючи натискання віртуальних клавіш, він зчитує повідомлення до шифрування, а захоплення екрану дозволяє зловредів вкрасти вхідні повідомлення після розшифровки. Те ж із записом голосу і звуку.
Pegasus добре вміє робити ще одну річ - ховатися. Зловредів самознищується, якщо не може зв'язатися з командним сервером більше 60 днів або ж якщо виявляє, що потрапив не на той пристрій (з іншою SIM-карткою). Останнє дуже навіть зрозуміло: Pegasus створений для цільового шпигунства, і клієнтам, які купили зловреда у NSO, нецікаво стежити за випадковими людьми.
Залізний кінь для Android
Ймовірно, розробники Pegasus вирішили, що при таких-то бюджетах на розробку проекту гріх обмежуватися однією платформою. З моменту виявлення версії для iOS пройшло зовсім небагато часу, і фахівці Lookout знайшли аналогічного зловреда і для операційної системи Google. На Security Analyst Summit 2017 представники компанії розповіли про Pegasus для Android, або, як його називають в Google, про Хрісаор (Chrysaor).
«Пегас» для Android, на відміну від iOS-версії, які не експлуатує уразливість нульового дня. Замість цього він використовує Framaroot - давно відомий спосіб отримання прав суперкористувача на Android-пристроях. Це не єдина відмінність: якщо спроба зламати iOS-пристрій провалюється, разом з нею невдалої виявляється і вся атака «яблучного» Pegasus. Однак Pegasus для Android на цьому не зупиняється: проваливши спробу зламати систему приховано, зловредів починає випрошувати у власника пристрою права доступу, щоб вкрасти хоч якісь дані.
Google стверджує , Що в усьому світі від зловредів постраждало лише кілька десятків пристроїв. Але так як мова йде про цільові атаках, це досить велика кількість. Найбільше раз Pegasus для Android встановили в Ізраїлі, на другому місці Грузія, на третьому - Мексика. Також зловредів був помічений в Туреччині, Кенії, Нігерії, ОАЕ та інших країнах.
Швидше за все, ви нічого не загрожує, але ...
Коли світ дізнався про iOS-версії Pegasus, Apple зреагувала швидко і чітко: випустила оновлення безпеки iOS 9.3.5, яке закрило всі три використовувані Pegasus уразливості.
Компанія Google, яка допомагала розслідувати інциденти з Android-версією зловреда, пішла іншим шляхом і зв'язалася з потенційними жертвами Pegasus безпосередньо. Якщо ви оновили своє iOS-пристрій і не отримували жодних повідомлень по темі від Google, то, швидше за все, ви нічого не загрожує і ніякої Pegasus за вами не стежить.
Однак це не означає, що інше, поки невідоме шпигунське ПЗ не шукає собі нових жертв прямо зараз. Існування Pegasus зайвий раз доводить: для iOS є шкідливе ПО, і воно може бути набагато складніше, ніж простенькі подпіхівателі реклами або докучливі сайти, що вимагають викуп з відвідувачів, які дуже легко закрити. У нас є три простих ради, які допоможуть вам залишатися в безпеці:
- Завжди вчасно оновлюйте пристрої, особливо коли мова йде про латках безпеки.
- встановіть надійне захисне рішення на всі свої пристрої. На жаль, на iOS можна поставити антивірус, але ми сподіваємося, що з появою Pegasus Apple перегляне свою політику в цьому відношенні.
- Розберіться, що таке фішинг, і навчитеся на нього не потрапляти, навіть якщо це цільової фішинг , Як у випадку Ахмеда Мансура. Якщо ви отримали посилання від невідомого відправника, що не клікайте по ній відразу ж. Спочатку все обміркуйте, а потім клікайте. Ну або не клацайте взагалі.
