В последние годы журналисты(новое окно) стали одной из главных целей слежки со стороны правительств по всему миру. Если вы репортер(новое окно), работающий над деликатными темами, ни одна страна не является безопасной для конфиденциальности в контексте международного рынка приложений шпионского ПО(новое окно), которые могут тайно отслеживать все данные, передаваемые и сохраненные на вашем iPhone.

Поскольку эти приложения распространяются, стало критически важно понимать, как найти скрытые приложения на iPhone и удалить их.

Шпионское ПО, нацеленное на журналистов

В июне 2025 года исследователи из Citizen Lab(новое окно) сообщили о новых доказательствах(новое окно) того, что правительство Италии преследует журналистов и активистов с помощью шпионского ПО Graphite, разработанного израильской фирмой Paragon Solutions(новое окно).

Citizen Lab ранее обнаружила доказательства использования Graphite(новое окно) в Австралии, Канаде, Дании, Сингапуре, Израиле и на Кипре, с потенциальными связями с полицией в Канаде. Graphite несет ответственность за хакерскую атаку в январе 2025 года, целью которой стали почти 100 журналистов и других представителей гражданского общества, использующих WhatsApp(новое окно) на своих iPhone. Примечательно, что, учитывая текущие события в Соединенных Штатах, Иммиграционная и таможенная полиция США (ICE) подписала контракт на 2 миллиона долларов(новое окно) с Paragon в 2024 году.

Graphite работает очень похоже на печально известное шпионское ПО Pegasus(новое окно) от NSO Group(новое окно). Конкурент Paragon Solutions в мире наемного шпионского ПО, эта компания известна своими тесными связями с израильским государством, и ее шпионское ПО классифицируется как военный экспорт(новое окно) Израиля. NSO Group продает свое программное обеспечение правительствам по всему миру(новое окно), включая Саудовскую Аравию, Дубай, Индию, Мексику, Марокко, Руанду и Венгрию, и ее ПО Pegasus связано с жестоким убийством(новое окно) саудовского правозащитника Джамаля Хашогги(новое окно).

Как хакеры скрывают приложения на iPhone

И Graphite, и Pegasus представляют собой наборы эксплойтов, нацеленных на iPhone. Graphite новее и гораздо менее задокументирован, чем Pegasus, и показательно, что правительство Израиля стремилось заменить Pegasus на Graphite(новое окно) в саудовском арсенале.

Apple выпустила патч(новое окно) для защиты от Pegasus еще в 2023 году, а после атаки на WhatsApp выпустила патч для iOS 18.3.1, чтобы устранить уязвимость, эксплуатируемую Graphite. Но нет никаких гарантий, что эти патчи будут эффективны против обновленных версий шпионских программ.

Оба приложения используют уязвимости нулевого дня в iOS, используя различные векторы атак. Наиболее тревожными из них являются атаки с нулевым кликом (zero-click)(новое окно), которые используют уязвимости в таких приложениях, как iMessage, WhatsApp или FaceTime, для тихого заражения устройства без необходимости для жертвы нажимать на ссылки или иным образом взаимодействовать со своим телефоном.

Как только iPhone заражен, шпионское ПО использует модульную архитектуру для удаленного включения или отключения компонентов в зависимости от целей слежки клиента. Возможности включают:

  • Кейлоггинг
  • Доступ к микрофону и камере (для прослушивания аудио и видео в реальном времени)
  • Доступ к журналу вызовов, SMS, контактам и электронным письмам
  • Доступ к данным приложений зашифрованных сообщений (Signal, WhatsApp, Telegram) с использованием служб специальных возможностей или путем перехвата данных до шифрования
  • GPS-трекинг
  • Захват снимков экрана

Шпионское ПО очень трудно обнаружить на iPhone, и оно может самоуничтожиться, чтобы стереть улики, если не свяжется с сервером в течение установленного периода времени или по команде. NSO Group создала версию Pegasus, которая также нацелена на устройства Android(новое окно). Она имеет схожую функциональность с версией для iOS, но использует другой режим атаки.

Очень трудно оценить, сколько устройств пострадало от любого из этих шпионских программ, но еще в 2021 году у NSO Group произошла утечка 50 000 телефонных номеров(новое окно) потенциальных целей Pegasus.

Как проверить ваш iPhone на наличие шпионского ПО Pegasus

Apple не допускает настоящие антивирусные приложения в App Store (строго говоря, «антивирусные» приложения доступны в App Store, но ограничения на их доступ к системным ресурсам серьезно ограничивают их полезность). И в любом случае, традиционное антивирусное программное обеспечение неэффективно против Pegasus на других платформах.

Фирма по безопасности мобильных устройств iVerify предлагает инструмент Threat Hunting(новое окно), который, как она утверждает, уже обнаружил семь заражений Pegasus(новое окно) (по состоянию на декабрь 2024 года). Доступный менее чем за доллар в App Store (каким-то образом обходя ограничения Apple на сканирование вредоносных программ), iVerify Basic(новое окно) очень прост в использовании. Но, будучи проприетарным программным обеспечением с закрытым исходным кодом, невозможно независимо оценить, насколько оно эффективно.

Другой вариант — использовать Mobile Verification Toolkit (MVT(новое окно)), бесплатный инструмент с открытым исходным кодом от группы по правам человека Лаборатории безопасности Amnesty International(новое окно). Он извлекает различные типы данных из резервной копии iPhone, чтобы найти доказательства атаки Pegasus, включая

  • SMS-сообщения
  • Журналы вызовов
  • Данные из установленных приложений
  • Системные журналы

Затем он анализирует эти данные для обнаружения «Индикаторов компрометации» (IOC), таких как конкретные процессы и имена файлов, которые, как известно, связаны с Pegasus. Следует отметить, однако, что для использования инструмента вам понадобится ПК с Linux или Mac и знакомство с командной строкой. Также требуется более глубокое понимание криминалистики вредоносных программ, чтобы получить максимальную отдачу от результатов.

Более удобный вариант (с графическим интерфейсом) — инструмент iMazing(новое окно), который использует методологию, «тесно отражающую» методологию MVT с открытым исходным кодом. Это платное программное обеспечение, но бесплатный пробный период включает инструмент обнаружения Pegasus. Однако вам все равно понадобится доступ к ПК с Linux или Mac.

Как проверить ваш iPhone на наличие шпионского ПО Graphite

Пока нет доступных инструментов, которые могли бы специально обнаруживать заражение Graphite.

Инструменты для обнаружения Pegasus, обсуждаемые выше, могут иметь некоторые шансы на обнаружение более нового шпионского ПО, но на них нельзя полагаться в этом вопросе. Общие советы, обсуждаемые ниже, также могут быть полезны для обнаружения подозрительного поведения.

Как найти скрытые приложения на iPhone

В целом (за исключением видов спонсируемого государством шпионского ПО, обсуждаемых выше), iPhone не позволяют сторонним приложениям по-настоящему «скрываться» в фоновом режиме, как они могут это делать на Android. Однако некоторые из них могут быть намеренно труднодоступными для поиска.

Несмотря на довольно надежную песочницу Apple, подпись кода и процесс проверки App Store, iPhone не защищены от вирусов или вредоносных программ(новое окно). Люди, имеющие прямой доступ к вашему телефону (например, домашние тираны), также могут установить менее сложные формы шпионского ПО, когда вы отворачиваетесь.

Это означает, что всем будет полезно периодически проверять, что на вашем iPhone не запущено ничего, чего не должно быть. Вот несколько советов по поиску скрытых приложений:

1. Проверьте библиотеку приложений: Листайте до упора вправо до последнего домашнего экрана. Здесь вы увидите все приложения, установленные на вашем iPhone, даже если вы не видите их на обычных домашних экранах. Ищите любые приложения, которые вам незнакомы, особенно с иностранными названиями. Изучите онлайн, представляют ли они собой легитимное программное обеспечение или являются распространенной маскировкой вредоносных программ. Если у вас есть какие-либо сомнения, удалите приложения.

Проверьте библиотеку приложений на наличие скрытых приложений

2. Проверьте наличие вредоносных профилей конфигурации: Они предназначены для компаний и школ для удаленного управления вашим iPhone, но могут быть важным вектором для атак вредоносных программ(новое окно). Откройте приложение Настройки и перейдите в ОсновныеVPN и управление устройством. Удалите любые профили(новое окно), которые вы не узнаете.

3. Проверьте хранилище: Откройте приложение Настройки и перейдите в ОсновныеХранилище iPhone. Просмотрите список установленных приложений, отображаемый здесь. Любые расхождения между видимыми приложениями на главной странице и теми, что показаны здесь, требуют дальнейшего расследования.

Проверьте хранилище iPhone на наличие вредоносных программ

4. Будьте внимательны к подозрительному поведению: Необычный разряд батареи или использование данных, а также нагрев телефона, когда он не используется, могут указывать на вредоносное ПО. Если у вас есть технические навыки, вы можете использовать инструменты захвата пакетов, такие как Wireshark(новое окно), чтобы проанализировать, куда уходят данные вашего iPhone.

Что делать со шпионским ПО на вашем устройстве

Одной из обнадеживающих новостей из исследования Citizen Lab является то, что шпионское ПО, такое как Graphite и Pegasus, является узконаправленным — в основном на журналистов, но активисты, диссиденты, политические деятели и те, кто работает в чувствительных секторах, также могут быть целями.

Если вы обеспокоены тем, что можете стать целью такой слежки, вам следует активировать режим блокировки. Это специальная функция, разработанная Apple для защиты iPhone именно от таких целевых кибератак, которые используются Pegasus и Graphite. Чтобы включить режим блокировки, откройте приложение Настройки и перейдите в Конфиденциальность и безопасностьБезопасностьРежим блокировки.

Используйте режим блокировки, чтобы защитить себя от скрытых приложений

Стоит отметить, что использование режима блокировки имеет некоторые недостатки, такие как ограниченная функциональность, сниженное удобство, потенциальные проблемы с совместимостью и меньшее количество возможностей настройки. Поэтому это не лучший вариант для большинства людей. Но если вы журналист или по другим причинам считаете, что можете стать целью шпионского ПО, его преимущества в области безопасности, вероятно, перевесят любые относительно незначительные неудобства.

Другие вещи, которые вы можете сделать, включают:

  1. Обновите iOS: Лучшая защита от вредоносных программ — поддерживать iOS в актуальном состоянии, поскольку Apple регулярно выпускает исправления для своей мобильной операционной системы, чтобы устранить новые уязвимости по мере их обнаружения.
  2. Не делайте джейлбрейк(новое окно) вашего телефона: Это удаляет многие функции безопасности, которые обычно встроены в iOS, и потенциально позволяет третьим лицам обходить App Store и загружать(новое окно) приложения на ваш телефон без вашего ведома.
  3. Сбросьте настройки телефона до заводских: Если у вас есть подозрения по поводу приложения на вашем телефоне, вам следует выполнить сброс телефона до заводских настроек(новое окно). Это избавит вас от почти всех вредоносных программ «потребительского уровня». Но этого может быть недостаточно, чтобы удалить спонсируемое государством шпионское ПО, такое как Graphite и Pegasus. Если вы подозреваете такой уровень слежки, вероятно, лучше всего либо вызвать профессионального эксперта по вредоносным программам, либо просто заменить свой iPhone.
  4. Используйте NetShield Ad-blocker: Решение DNS-фильтрации от Proton VPN может блокировать вызовы DNS к известным доменам вредоносных программ и фишинга. Это означает, что даже если ваш iPhone заразится вредоносным ПО, он может не смочь «позвонить домой».

Если вы вообще обеспокоены тем, что можете стать целью спонсируемого государством вредоносного ПО, режим блокировки специально разработан для противодействия таким угрозам. Для всех остальных Apple в значительной степени хорошо справляется с обеспечением безопасности iPhone, но обязательно поддерживайте его в актуальном состоянии с последней версией iOS и сохраняйте бдительность.