Не "Пегасом" єдиним. Експерти виявили нове шпигунське ПЗ, що зламує iPhone

хакер, злом, смартфон
Фото: defendershield.com

Програма розроблена македонською компанією Cytrox. Аналітики вважають, що її почали використовувати замість Pegasus від NSO Group.

Експерти з кібербезпеки виявили шпигунську програму Predator, яка стежить за людьми через смартфони на прикладі скандальної Pegasus. Результати дослідження опублікували на сайті організації Citizen Lab.

Як з'ясували фахівці, Predator (з англійської — "Хижак") створений маловідомим розробником шпигунського софту під назвою Cytrox. За допомогою цієї програми були зламані iPhone двох відомих громадян Єгипту — політика Аймана Нура та ведучого популярної програми новин, який попросив не розкривати своє ім'я.

Стеження за обома цілями було встановлено у червні 2021 року. Програма Cytrox змогла зламати найсвіжішу на той момент версію операційної системи iOS 14.6, коли жертви натиснули на посилання у WhatsApp. Як виявилося, смартфон Аймана Нура в той же час був заражений Pegasus та передавав інформацію іншому державному клієнту. Політик звернув увагу, що його iPhone дуже сильно нагрівався під час роботи і звернувся до кіберфахівців.

"Ми з середньо-високим ступенем впевненості приписуємо атаки на ці дві цілі уряду Єгипту. Ми провели сканування, під час якого було ідентифіковано уряд Єгипту як клієнта Cytrox Predator, веб-сайти, використані для злому двох цілей, мали єгипетські теми, а повідомлення, ініціюючі злом, були відправлені з єгипетських номерів WhatsApp", — заявили аналітики.

Співробітники Citizen Lab отримали зразки "завантажувача", першої фази Predator, та вивчили його можливості. Шпигунське програмне забезпечення зберігається на пристрої після перезавантаження за допомогою функції автоматизації iOS. В результаті сканування серверів Predator експерти визначили потенційних клієнтів Cytrox у Вірменії, Єгипті, Греції, Індонезії, Мадагаскарі, Омані, Саудівській Аравії та Сербії.

IP-адреса ймовірного клієнта в Саудівській Аравії має "сліди" Predator з липня 2021 року. NSO Group стверджує, що з 30 червня відключила клієнта, який, за даними New York Times, знаходиться в тій же країні. Експерти вважають, що Саудівська Аравія могла перейти із Pegasus на Predator.

Розвиток Cytrox розпочався зі стартапу в Північній Македонії. Огляд документів корпоративного реєстру показує, що компанія має офіси в Ізраїлі та Угорщині. У базі даних Crunchbase зазначено, що Cytrox надає урядовим органам програмного забезпечення для збору інформації з пристроїв та обласних сервісів. Як зазначено в Pitchbook, вона розробляє системи кіберрозвідки для забезпечення безпеки та збору даних у мережі.

Cytrox вважається частиною Intellexa, так званого "Зоряного альянсу шпигунського ПЗ", сформованого для конкуренції з компанією NSO Group, що розробила Pegasus. Організація стверджує, що базується та регулюється в Євросоюзі, має шість сайтів та науково-дослідні лабораторії по всій Європі.

Айман Нур — лідер політичної опозиційної групи "Союз національних сил Єгипту". Нур також колишній кандидат у президенти Єгипту, засновник та голова партії "Гад аль-Таура". 2005 року Нур змагався з колишнім президентом Єгипту Хосні Мубарака за посаду глави держави, а після виборів був засуджений за підробку підписів для створення його політичної партії та провів у в'язниці понад чотири роки. У 2009 році Аймана Нура було звільнено за станом здоров'я та під тиском міжнародного співтовариства. У 2013 році виступав проти військового перевороту президента Абдель Фаттаха Ас-Сісі та втік до Лівану, де продовжує критикувати режим у Єгипті.

Раніше Фокус писав, як працює шпигунське ПЗ Pegasus і як від нього захиститися. У програми дуже широкий набір функцій, наприклад вона може прослуховувати телефонні розмови або стежити за власником смартфона через камеру.