Category: Программы специального назначения

Существует расхожее заблуждение, что присутствие «шпиона» на устройстве обязательно «просаживает» батарею. На самом деле — не всегда, не у всех, и не во всех случаях.

Начнём с основ. Современные устройства, в особенности мобильные, имеют высокую энергоэффективность, т. е. на «бумаге» они медленнее расходуют батарею. Вот только эта «бумага» отражает реальность «сферического коня в вакууме», ибо современные ОС зачастую содержат «тонну» различных ошибок, которые потребляют «циклы» процессора. Также, поддержка нужного уровня мощности радио-антенн тоже «стоит» дорого, особенно в случае с сотовой связью. В этом «компоте» энергоэффективность практически «растворяется».

Стоит отметить, что не смотря на вышеперечисленные факторы, быстрая разрядка «батарейки» может сигнализировать о заражении. Если ваш телефон долгое время был «холодным» и «садился» медленно, а в какой-то момент стал «горячим» — это может быть вызвано топорным «шпионом», который использовал очень «грязный» вектор атаки. Если были задеты системные файлы, это может кратно увеличить «ошибки» в системе, которые и будут потреблять упомянутые мной «циклы» процессора.

Такой метод «обнаружения» не применим к сложным и дорогим «шпионам», вроде израильского Pegasus. NSO Group, разработчик «оного», как и многие другие подобные «шарашкины конторы», понимают что излишне быстрый расход батареи вызывает подозрения, в связи с чем используют более «элегантные» векторы атак.

Отвечая на поставленный вопрос: только в случае с «дешевыми» представителями «жанра».

Больше всего от шпионского ПО страдают устройства Apple из-за во многом «кривой» и закрытой архитектуры.

Краткий исторический экскурс. Сейчас все операционные системы Apple — сильно модифицированная вариация открытой BSD. Все долгие годы существования ядра XNU, т. е. проприетарного форка ядра BSD, Apple обслуживала его полностью самостоятельно. Чтобы понять почему же это плохо, можно посмотреть на аналогичное ядро Linux — несмотря, на то, что в разработке участвуют «гиганты», вроде Google, до сих пор вылезают «дырки», которым порой по 10-15 лет.

Это создаёт вполне «тепличные» условия для существования целого ряда критических уязвимостей, вроде эскалации привилегий, которыми с «удовольствием» пользуется та же израильская NSO Group. По сравнению с тем же Android Open Source Project, который использует ядро Linux, скорость обнаружения «дырок» в ядре порой в десятки раз медленнее.

Несмотря на то, что подобные «вирусы» — тема достаточно «животрепещущая», шанс встретиться с ними ещё меньше, чем с полицейской «открывашкой» — не потому, что современные «полицейские» государства и современные же «бандиты» уверовали в неприкосновенность частной жизни, а из-за «ошеломляющей» цены вопроса.

Существует множество векторов «доставки» подобных «вирусов», доступность которых зависит от «класса» атакующего. Зачастую только государства могут использовать сотовые модемы и прочие радио-чипы для «доставки». Хакеры «попроще» доступ к такой «роскоши» не имеют, ввиду чего пользуются искажениями памяти и относительно простыми «дырками». В большинстве случаев «цепочка» доставки выглядит так:

Запуск выполнения кода через уязвимость в каком-либо системном сервисе —> побег из «песочницы» —> обход MAC (Mandatory Access Control) —> уязвимость в ядре —> получение привилегий в системе

Стоит отметить, что для большинства систем, вся «схема» работает до первой перезагрузки устройства, ввиду невозможности «зашить» вирус в, например, образ ядра. В особенности это применимо к Android Verified Boot, который просто заблокирует загрузку неподписанных «правок».

Говоря конкретно о «цене» подобных «манипуляций» — она может спокойно достигать нескольких десятков миллионов долларов. Именно по этой причине полицейские «открывашки» гораздо более популярны — зачастую получить физический доступ к устройству банально дешевле.