În decembrie, sute de utilizatori de iPhone și Android au primit o notificare de amenințare, care îi avertiza că dispozitivul lor fusese vizat de spyware. La câteva zile după aceea, Apple și Google au corectat breșe de securitate despre care experții cred că au fost folosite pentru a instala acest malware discret pe un grup select de dispozitive, scrie WIRED.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Spyware-ul este atât de periculos deoarece adversarul poate vedea și auzi tot ce faci pe smartphone-ul tău, inclusiv prin aplicații de mesagerie criptate precum WhatsApp. Totuși, el tinde să fie extrem de bine țintit, îndreptat împotriva dizidenților, jurnaliștilor, politicienilor și liderilor de afaceri care activează în anumite sectoare.
Malware-ul a afectat mai multe persoane foarte cunoscute, printre care fostul CEO Amazon Jeff Bezos și Hanan Elatr, soția disidentului saudit Jamal Khashoggi, asasinat — ambii fiind compromiși de spyware-ul Pegasus al NSO Group.
Astăzi, spyware-ul rămâne la fel de răspândit în aceste cercuri, dar experții cred că impactul său s-ar putea extinde. La începutul lunii decembrie, când Google a emis notificarea de amenințare, cercetătorii companiei au detaliat modul în care un lanț de exploatări a fost folosit pentru a instala în mod clandestin spyware-ul Predator pe un dispozitiv.
Acest lucru a venit după o alertă emisă de Agenția pentru Securitate Cibernetică și Infrastructură a SUA (CISA), care avertiza utilizatorii că adversarii „exploatează activ” spyware comercial pentru a viza aplicații de mesagerie mobilă.
Modalitățile există, riscul crește
Atacuri „zero-click”
Spyware-ul ajunge adesea pe smartphone-uri prin așa-numitele atacuri zero-click, ceea ce înseamnă că telefonul tău poate fi infectat fără să dai click pe un link, să descarci o imagine malițioasă sau să faci orice alt tip de interacțiune.
Atacul nu poate fi prevenit prin metodele obișnuite. Dacă malware-ul a infectat smartphone-ul tău, adversarii pot „citi mesaje, observa apăsările de taste, face capturi de ecran, monitoriza notificările și accesa aplicații bancare”, potrivit lui Pieter Arntz, cercetător senior în malware la firma de securitate Malwarebytes.
Cu acces complet la sistem, spyware-ul poate „exfiltra date precum e-mailuri și mesaje text, trimite mesaje, fura acreditări și se poate autentifica în sisteme cloud”, spune Rocky Cole, cofondator al iVerify, o aplicație care îi ajută pe utilizatori să detecteze spyware-ul.
Pe lângă atacurile zero-click, spyware-ul poate infecta un dispozitiv atunci când cineva dă click pe un link compromis trimis prin SMS, e-mail sau rețele sociale. De asemenea, malware-ul se poate ascunde în aplicații malițioase care par legitime. Poate fi ascuns într-un fișier imagine descărcat printr-un mesaj sau poate ajunge pe smartphone din cauza unor vulnerabilități ale browserului.
În mod obișnuit, infectarea începe prin linkuri malițioase și aplicații false, dar are loc și prin „metode mai subtile”, spune Richard LaTulip, CISO de teren la compania de securitate Recorded Future, care a colaborat cu echipa de informații privind amenințările de la Google în descoperirea spyware-ului Predator.
LaTulip dă exemplul unor cercetări recente despre extensii de browser malițioase care au afectat milioane de utilizatori și care arată „cum instrumente aparent inofensive pot deveni dispozitive de supraveghere”.
Aceste tehnici, adesea dezvoltate de adversari de tip stat-națiune, legați de guverne, indică o tendință către „compromiteri mai ascunse, persistente și la nivel de dispozitiv”, spune el.
O problemă mai mare
În ultimii ani, spyware-ul a devenit o problemă tot mai serioasă. Guvernele și companiile care produc acest malware spun că instrumentele de supraveghere sunt folosite doar pentru a viza infractori și teroriști sau în scopuri de securitate națională.
„Dar adevărul este că activiști pentru drepturile omului, jurnaliști și multe alte persoane din întreaga lume au fost vizați ilegal cu spyware”, spune pentru WIRED Rebecca White, cercetătoare Amnesty International pe tema supravegherii țintite. „În acest fel, spyware-ul poate fi folosit ca instrument de represiune — pentru a reduce la tăcere oamenii care spun adevărul în fața puterii.”
Activista thailandeză Niraphorn Onnkhaow este un exemplu elocvent. Între 2020 și 2021, în perioada de vârf a protestelor pro-democrație din Thailanda, Onnkhaow a fost vizată de 14 ori de spyware-ul Pegasus. La scurt timp după aceea, a decis să renunțe la rolul său în mișcarea de protest, de teama că datele sale private ar putea fi folosite ca armă împotriva ei.
„Datele pot fi transformate în arme și pot duce la mai multe abuzuri, online și offline — mai ales pentru persoanele care se confruntă deja cu discriminare pe baza identității lor, de exemplu pe criterii de gen sau rasă”, spune White.
Dincolo de activiști, spyware-ul mobil pare să vizeze un segment mai larg de persoane, adesea în mediul de afaceri. Malware-ul afectează „o gamă largă a societății”, de la oficiali guvernamentali la angajați IT din sectorul financiar, spune Cole de la iVerify. „Din ce în ce mai mult, este folosit nu doar pentru culegere de informații, ci pentru a fura acreditări necesare accesului în mediile enterprise.”
Semne că ai fost vizat
Spyware-ul este dificil de detectat — în special variantele sofisticate precum Pegasus și Predator, care sunt de obicei descoperite doar prin analiză criminalistică. Totuși, ai putea observa unele semne subtile, precum supraîncălzirea sau încetinirea dispozitivului, ori activarea camerei sau a microfonului atunci când nu ar trebui.
Deși spyware-ul avansat poate lăsa puține sau deloc urme vizibile, scăderile bruște de performanță sau schimbările de conectivitate pot servi drept semnale de avertizare timpurii, spune LaTulip.
Un indicator mai evident al faptului că ai fost vizat de o campanie sofisticată este o notificare oficială de amenințare din partea Apple, Meta sau Google. Aceasta „ar trebui luată foarte în serios”, spune White.
Un alt semn este apariția unor informații private care nu au mai fost făcute publice anterior sau situația în care colegi sau prieteni au fost compromiși.
Cum să previi și să atenuezi spyware-ul
Cea mai sigură modalitate de a combate spyware-ul este să previi preluarea dispozitivului încă de la început. Dacă crezi că ai putea fi expus riscului, Apple oferă Lockdown Mode, care include un nivel mai ridicat de securitate, cu funcționalitate redusă, îmbunătățit de-a lungul timpului prin actualizări. De exemplu, acesta blochează majoritatea atașamentelor din mesaje și apelurile FaceTime primite.
Pentru a activa Lockdown Mode pe iPhone, mergi la Settings > Privacy & Security > Lockdown Mode și apasă Turn On Lockdown Mode.
Ivan Krstić, vicepreședinte pentru inginerie și arhitectură de securitate la Apple, spune pentru WIRED că „nu a existat niciodată un atac malware reușit, de amploare” împotriva iPhone-ului. Singurele atacuri iOS la nivel de sistem observate în sălbăticie de Apple provin de la spyware mercenar, potrivit companiei. Cu alte cuvinte, iPhone-urile au fost infectate cu spyware, dar doar cu cel mai sofisticat tip, spune Krstić.
Krstić descrie spyware-ul mercenar ca fiind „istoric asociat cu actori statali și costând milioane de dolari pentru a viza un număr foarte mic de persoane și dispozitivele lor”. El adaugă că Apple a continuat să dezvolte noi metode de combatere a spyware-ului, inclusiv Lockdown Mode și Memory Integrity Enforcement.
Introdus odată cu cea mai recentă gamă de iPhone-uri, Memory Integrity Enforcement este o „protecție completă și permanentă a siguranței memoriei”, care ajută la prevenirea exploatărilor de tip corupere a memoriei, frecvent utilizate în lanțurile de atac ale spyware-ului.
Krstić este încrezător în progresele aduse de Memory Integrity Enforcement, afirmând că noua funcție este „cea mai semnificativă îmbunătățire a siguranței memoriei din istoria sistemelor de operare pentru consumatori”.
Google oferă protecție împotriva spyware-ului pentru Android prin Advanced Protection, care a fost îmbunătățită în Android 16 cu jurnalizare a intruziunilor, protecție USB și opțiunea de a dezactiva reconectarea automată la rețele nesigure. Aceasta poate fi activată din Settings > Security & Privacy > Other Settings > Advanced Protection.
Pe lângă utilizarea funcțiilor anti-spyware, toți utilizatorii ar trebui să fie atenți la linkurile primite de la necunoscuți, spune White. „Fiți atenți la schimbările în funcționarea dispozitivelor. Folosirea unui VPN de încredere poate ajuta la prevenirea unor forme de supraveghere și cenzură”, spune ea. „Evaluați orice cerere nouă de urmărire pe rețelele sociale înainte de a o accepta. Vizitați site-ul onion securizat al Amnesty, în mod privat și anonim, folosind browserul rețelei Tor.”
În general, exercită un „control strict” asupra a ceea ce este instalat pe dispozitivul tău, adaugă Arntz.
În același timp, evită sideloading-ul pe Android și asigură-te că sistemul de operare mobil și aplicațiile sunt complet actualizate. „Patch-urile închid adesea aceleași vulnerabilități de care se bazează spyware-ul”, avertizează LaTulip.
Experții spun că spyware-ul poate fi perturbat temporar prin oprirea și repornirea smartphone-ului. Totuși, dacă malware-ul ajunge pe dispozitiv, cea mai bună soluție este să renunți complet la el.
Alături de Amnesty, mai multe organizații pot sprijini membrii societății civile care se tem că au fost vizați de spyware, precum Access Now și Reporters Without Borders.
Mai presus de toate, acționează cu un scepticism sănătos, spune LaTulip. „Presupune că un compromis este posibil, dar evită paranoia care blochează utilizarea normală.”
