手机间谍软件是指通过外在硬件设备或者内在的软件对手机的一种监控行为,还有一种说法是指一些编程高手,编制出隐藏在手机里面的远程控件,从而实现他们的阴谋、目的。
近期被曝光的Pegasus就是一款这样的智能手机间谍软件,其被认为是目前为止最危险的间谍软件之一,是由以色列监控公司NSO Group开发的。
2016年8月,Pegasus软件曾对iPhone设备实施攻击。Pegasus利用3个当时未被发现的iOS系统“0day”漏洞实施间谍活动。
现在,谷歌和网络安全公司Lookout发现安卓版的Pegasus间谍软件,谷歌最初于2016年底发现安卓版Pegasus的蛛丝马迹,当时整个14亿台安卓设备中只有少量被Pegasus感染。与iPhone版本一样,安卓版Pegasus包含高度复杂和先进的功能,其可以通过短信息控制,并具有自毁功能。
因具备自毁功能,Pegasus隐藏身份长达三年之久,而不被发现。Lookout的移动安全研究员Michael Flossman表示,这款恶意软件感觉自己快被发现时会立即自行删除,这也是为什么研究人员花了如此长的时间才发现该软件样本的原因。虽然样本是2014年的,但仍能有力证明这款间谍软件在安卓手机上运行。
iPhone版Pegasus检测到越狱后会自行删除,但安卓版的Pegasus在发现自己在特定时间内无法连接到命令与控制(C2)服务器时,或感觉自己会被检测到时,就会自行删除。
此外,Pegasus还能抓取大量通信数据、WhatsApp通话和消息记录、以及来自Gmail、Facebook和Twitter等有价值的数据。除此之外,它还能控制设备的摄像头和麦克风,并记录键盘,捕获截图。谷歌认为,尽管Pegasus具备先进的功能,但安卓版的Pegasus从未进入官方Google Play Store。
Pegasus的完整功能如下:
Pegasus通过短信传播
Flossman认为,安卓版与iPhone版的Pegasus传播方式相同,都是通过短信传播。
这款监控软件中包含的各种漏洞利用会尝试在安装后运行。即使这些漏洞利用在目标设备做了修补,Pegasus仍能运行,只是功能会减少。
目前,调查人员尚不确定,安卓版Pegasus是否使用了0day漏洞利用设备。据称,Framaroot技术被用来获取设备权限(Root)。这种技术使用以《魔戒》角色命令的漏洞利用,并允许攻击者完全控制操作系统。
谷歌研究人员分析指出,大多数目标位于以色列。然而也有报告指出,格鲁吉亚、阿联酋、土耳其和墨西哥的用户也是Pegasus的目标。
值得注意的是,对于这款间谍软件还能够监听WhatsApp通话和消息记录。近期,在英国发生的恐怖袭击事件一时间让WhatsApp颇受争议,而被英国“封杀”,英国内政大臣甚至与Facebook、谷歌、微软和Twitter会面就加密问题在这方面都没有任何进展。这也证明,未来技术终将制约技术。