Шпион в кармане

Как найти и обезвредить «Монокль» на вашем телефоне
Аватар - Теплица социальных технологий
Теплица социальных технологий
ВРЕМЯ НА ЧТЕНИЕ 4 МИН
19 декабря 2024
Скачать в PDF

История программиста Кирилла взволновала многих: на его смартфоне обнаружился «Монокль», продвинутая ФСБ-шная программа для слежки за волонтерами и активистами.

Кирилл получил обратно свой телефон после 15 дней административного ареста. Вскоре он заметил загадочное уведомление на экране: «Arm cortex vx3 synchronization». Проверка экспертов показала – в смартфоне действительно обитает «Монокль». 

Этот шпионский софт – родом из Санкт-Петербурга; разработан он российским «Специальным технологическим центром», который связан с военной разведкой России (ГРУ), и который уже 8 лет находится под санкциями США за «вредоносную киберактивность».

Любопытно, что «Монокль» маскируется под популярные приложения на андроид-телефонах, чтобы его не заметили и не снесли; — в частности The Hacker News пишет о появлении фейковых Signal, Skype и Evernote. Также «Монокль» может маскироваться под системные сервисы с техническими названиями, чтобы не вызывать подозрений у пользователей.

Исследователи из Citizen Lab разобрали кейс Кирилла П. и  пришли к выводу: «Монокль» — это не обычный вирус-вредонос, а сложнейший инструмент наблюдения. 

Его возможности впечатляют:

  • чтение и отправка SMS-сообщений;
  • перехват сообщений даже до их отправки;
  • отслеживание использования браузера и социальных сетей;
  • перехват и запись телефонных разговоров;
  • возможность отвечать на телефонные звонки;
  • запись видео с помощью камеры;
  • доступ к точному местоположению;
  • кража контактов;
  • запись снимков экрана;
  • чтение информации Google Calendar;
  • удаленная активация микрофона для прослушивания;
  • запись нажатий клавиш (кейлоггинг);
  • доступ к файловой системе устройства;
  • отслеживание геолокации;
  • кража кодов разблокировки смартфона;
  • перехват сообщений мессенджеров, — включая зашифрованные сообщения Signal и Telegram.

Кому следует опасаться «Монокля» в первую очередь? 

Важно учесть, что «по воздуху» его поставить нельзя: для заражения данным шпионским ПО обязательно нужен физический контакт с вашим телефоном. Поэтому задуматься о «Монокле» следует тем, кто сталкивался с ситуацией, когда силовики забрали ваш смартфон, а потом вернули. 

На данный момент известно только о случаях заражения андроид-смартфонов.  Однако владельцам iPhone тоже нужно быть настороже: исследователи компании Lookout, которые проанализировали код «Монокля», обнаружили в нем неиспользуемые команды, которые могут указывать на наличие версии этого шпионского софта для устройств Apple. 

Чтобы заиметь шпионский «Монокль», совсем не обязательно быть известной персоной. Как показывает опыт Кирилла П., это может коснуться любого. В этом отличие от программы Pegasus, которую, как правило, ставят только знаменитым людям — таким как Галина Тимченко из «Медузы».

Как распознать заражение «Моноклем»: на что обратить внимание

Начнем с батареи – это первый и самый заметный индикатор проблем. Шпионские программы постоянно работают в фоне, отправляя собранные данные на удаленные серверы. Такая активность требует энергии, — много энергии. Если телефон вдруг стал разряжаться в два-три раза быстрее обычного, и при этом вы не устанавливали новых приложений и не меняли режим использования – это серьезный повод для беспокойства. Особенно показательна разрядка в режиме ожидания, когда вы не пользуетесь устройством.

Второй важный момент – расход интернет-трафика. Современные шпионские программы собирают огромные объемы данных: фотографии, видео, записи разговоров, переписки. Все это нужно как-то передавать «хозяевам»; в результате трафик растет в разы. Проверьте статистику в настройках телефона – если видите необъяснимые скачки в потреблении данных, особенно ночью или когда не пользуетесь телефоном, пора бить тревогу.

Температура устройства тоже может многое рассказать. Работающие в фоне шпионские программы нагружают процессор. Телефон может заметно нагреваться даже в состоянии покоя. Особенно показательно нагревание в верхней части, где обычно расположена камера – это может говорить о ее скрытом использовании.

Часто шпиона выдают странности в поведении вашего смартфона: самопроизвольные включения экрана; неожиданные звуки при разговорах; внезапные перезагрузки; проблемы со связью в местах с хорошим покрытием сети.

Однозначно должны насторожить необычные уведомления или сообщения, особенно если они содержат случайные наборы символов или технические термины (например, тот самый «Arm cortex vx3 synchronization»).

Лайфхаки по обнаружению шпионского оборудования

  • Проверка ночью работает безотказно. Включите режим полета перед сном, запомните уровень заряда. Утром первым делом проверьте батарею. Если телефон заметно разрядился – что-то работало, пока вы спали. Шпионские программы часто активизируются именно в ночное время, в расчете на то, что их активность останется незамеченной. 

  • Сравнивайте размеры приложений. Загляните в настройки, посмотрите, сколько весят ваши программы. Сравните с размерами в официальном магазине. Шпионские версии обычно тяжелее оригиналов – им нужно место для дополнительного кода.

  • Температурный тест прост: включите громкую музыку и следите за нагревом телефона. Необычно сильное нагревание может означать, что кто-то записывает звук через микрофон.

Что делать, если на вашем смартфоне уже явно есть признаки шпионажа? 

Если подозрения подтверждаются, важно действовать быстро. В первую очередь включите режим полета — это остановит передачу данных и даст вам время на анализ ситуации. Затем сохраните резервную копию всей важной информации, но будьте внимательны: такая копия может уже содержать вредоносное программное обеспечение. 

Самым надежным решением станет полный сброс устройства до заводских настроек. Это требует усилий, но обеспечит максимальную безопасность. После сброса установите новую прошивку, используя компьютер, чтобы исключить риск повторной уязвимости.

Bonus: чеклист для защиты вашего смартфона

Ответьте себе на вопросы:

Вы ставили приложения только из официальных магазинов?

Google Play и App Store, несмотря на все их недостатки, хотя бы проверяют загружаемые программы.

У вас обновлена система и приложения?

Да, обновления утомительны, но хакеры часто используют старые уязвимости, которые давно закрыты в новых версиях.

Вы используете сложные пароли и двухфакторную аутентификацию?

Применяйте их везде, где можно.

Вы проверяете список установленных приложений? 

Удаляйте всё подозрительное и незнакомое, особенно программы, появившиеся недавно или после того, как телефон побывал в чужих руках.

Вы читаете, какие разрешения просят программы при установке?

Зайдите в настройки и посмотрите, к чему имеет доступ каждое приложение. Калькулятору не нужен доступ к камере и микрофону, игре не требуется разрешение на отправку SMS, фонарик не должен следить за вашим местоположением. Любое несоответствие между функциональностью приложения и запрошенными разрешениями – повод насторожиться.

Еще по теме
  1. Слежка по мобильному телефону: можно ли это прекратить?
  2. Режим блокировки. Защита от изощренных атак