Шпионское программное обеспечение от израильской компании NSO Group незаметно для пользователей устанавливали на смартфоны, затем получали доступ к информации на нем (фотографии, файлы, телефонная книжка, звонки, сообщения, геолокация), а также могли активировать микрофон или камеру - рассказывает руководитель компании "Интернет-Розыск" Игорь Бедеров.
«Сетевая инъекция» - так называется шпионская технология, позволяющая NSO Group незаметно внедрять Pegasus на устройства жертв. Оператору Pegasus было достаточно одного неотвеченного звонка жертве, чтобы запустить программу слежки на конечном устройстве.
Как работал Pegasus на устройствах пользователей? Приведем пример с марокканцем Маати Монджиба, слежка в отношении которого велась в 2019 году. При попытках Маати зайти на Yahoo осуществлялось его перенаправления на внешний ресурс, имеющий поддомен 4-го уровня, нестандартно высокого номера порта и случайного URI. Схожие перенаправления происходили у Маати не только при серфинге в интернете, а также при запуске мобильных приложений, например, Twitter-а.
Как идентифицируется Pegasus на устройствах жертв:
1. подозрительные перенаправления, записываемые в истории просмотров браузера, а также детектируем при использовании специального ПО;
2. появление на устройстве дополнительных папок, таких как IndexedDB и т.п., обеспечивающих работу вредоносного ПО;
3. появление подозрительных процессов bh, в т.ч. записываемых в БД DataUsage.sqlite и netusage.sqlite на iPhone.
Уже появилось программное обеспечение, которое позволяет детектировать наличие Pegasus на iPhone (с Android все намного сложнее).
Скачать его можно по ссылкам: