近年来,更多的行为者针对更广泛的受害者部署了商业间谍软件,但普遍的说法仍然是恶意软件被用于针对极少数人的定向攻击。但与此同时,检查设备是否受到感染却很困难,这导致个人不得不求助于学术机构和非政府组织的临时阵营,这些机构和组织一直站在开发检测移动间谍软件的取证技术的第一线。本周二,移动设备安全公司 iVerify 将发布其五月份推出的间谍软件检测功能的发现。在该公司客户选择提交检查的 2,500 次设备扫描中,有 7 次发现感染了臭名昭著的 NSO Group 恶意软件 Pegasus。
Pegasus 是一种由以色列网络情报公司 NSO 集团开发的高级间谍软件(spyware)。它设计用于秘密安装在运行 iOS 和 Android 的移动设备上,不需要目标用户采取任何行动(即零点击攻击)。Pegasus 的主要用途是监控恐怖分子、罪犯及其他被认为是对国家安全构成威胁的人员的手机活动。然而,它也被曝光用于监控新闻工作者、人权活动家和其他一些公众人物,导致广泛的争议和关注。这种软件可以执行包括但不限于以下功能:
1、读取文本消息和电子邮件
2、记录电话通话
3、追踪地理位置
4、访问相机和麦克风以实时监控
Pegasus 的感染方式通常通过利用手机操作系统的漏洞进行,例如通过恶意的链接或文件,或者通过伪装的电话或消息服务。
由于其强大的功能和广泛的使用,Pegasus 引发了关于隐私、国家安全和人权的全球性讨论。美国政府曾将 NSO Group 列入实体清单,指出其对美国国家安全构成潜在威胁。
该公司的 “移动威胁猎杀 “功能结合使用了基于恶意软件签名的检测、启发式方法和机器学习,以查找 iOS 和 Android 设备活动中的异常情况或间谍软件感染的蛛丝马迹。对于付费的 iVerify 客户,该工具会定期检查设备是否存在潜在漏洞。这些用户可以按步骤生成并向 iVerify 发送一个特殊的诊断实用程序文件,并在数小时内收到分析结果。iVerify 的基础架构是为保护隐私而建立的,但要运行移动威胁猎杀功能,用户必须输入电子邮件地址,以便公司在扫描发现间谍软件时有办法与他们取得联系–最近发现的 7 个 Pegasus 就是如此。
iVerify公司首席运营官、前美国国家安全局分析师洛基-科尔(Rocky Cole)说:”真正引人入胜的是,被攻击的目标不仅是记者和活动人士,还有商界领袖、经营商业企业的人士和政府官员。iVerify公司首席运营官、前美国国家安全局分析师洛基-科尔(Rocky Cole)说:”这看起来更像普通恶意软件或普通APT组织的目标定位特征,而不像外界所说的雇佣军间谍软件被滥用于攻击活动人士。它绝对是在这样做,但这种社会横断面的发现令人吃惊”。
2500 次扫描中有 7 次发现间谍软件,这听起来似乎是个小数字,尤其是在 iVerify 的用户群中,无论是付费用户还是免费用户,他们都希望对自己的移动设备安全进行监控,更不用说专门检查间谍软件了。但事实上,该工具已经发现了少量感染病例,这说明间谍软件的使用已在全球范围内广泛扩散。如果能有一个简便的工具来诊断间谍软件的危害,就能更好地了解此类恶意软件的使用频率。
“NSO 集团发言人 Gil Lainer 在一份声明中告诉《WIRED》:”NSO 集团只向经过审核的美国和以色列情报和执法机构销售产品。”我们的客户每天都在使用这些技术。
iVerify公司研究副总裁马蒂亚斯-弗里林斯多夫(Matthias Frielingsdorf)将于本周五在夏威夷毛伊岛举行的Objective by the Sea安全会议上介绍该公司的Pegasus研究成果。他说,开发这种检测工具需要大量投资,因为安卓(Android),尤其是 iOS 等移动操作系统比传统桌面操作系统更加封闭,不允许监控软件访问系统核心。科尔说,最重要的一点是利用尽可能接近内核的遥测数据来调整机器学习检测模型。一些间谍软件,如 Pegasus,也有一些特征,使其更容易被标记。在七次检测中,移动威胁猎杀利用诊断数据、关机日志和崩溃日志捕获了Pegasus。但科尔说,目前的挑战在于改进移动监控工具,以减少误报。
不过,开发这种检测能力已经取得了宝贵的成果。科尔说,它帮助 iVerify 识别了 Gurpatwant Singh Pannun 智能手机上的入侵迹象,他是一名律师和锡克教政治活动家,曾是一名印度政府雇员在纽约市企图暗杀的目标。在总统竞选期间,移动威胁狩猎功能还标记了两名哈里斯-瓦尔兹竞选团队官员(竞选团队高级成员和 IT 部门成员)移动设备上的疑似民族国家活动。
“科尔说:”认为 iPhone 和 Android 手机开箱即安全的时代已经过去了。”了解手机是否装有间谍软件的功能并不普及。由于存在技术障碍,很多人都落在后面。现在,你有能力知道自己的手机是否感染了商业间谍软件。而且感染率远远高于普遍的说法”。