Pegasus惡意軟件原本是針對(duì)iOS設(shè)備的威脅,如今其擴(kuò)大了范圍,具備了感染Android設(shè)備的能力。針對(duì)Android的惡意軟件變體可通過捕獲屏幕截圖、按鍵和音頻以及從消息中竊取數(shù)據(jù)來窺探用戶設(shè)備。那么針對(duì)Android的Pegasus版本與針對(duì)iOS版本有何不同?
Michael Cobb:2016年,移動(dòng)安全廠商Lookout Inc.與多倫多大學(xué)公民實(shí)驗(yàn)室合作,開啟了圍繞在iOS設(shè)備上運(yùn)行的Pegasus惡意軟件而進(jìn)行的具有針對(duì)性和持續(xù)性的移動(dòng)攻擊的研究。Pegasus惡意軟件由一個(gè)名叫NSO Group Technologies的網(wǎng)絡(luò)武器經(jīng)銷商創(chuàng)建,具有復(fù)雜的移動(dòng)間諜軟件功能,并被利用于定位各種群體和個(gè)人。
Lookout和Google現(xiàn)已發(fā)現(xiàn)一個(gè)新的Pegasus惡意軟件版本,它能夠檢測到在以色列、格魯吉亞、墨西哥、土耳其、肯尼亞和其他六個(gè)國家/地區(qū)的手機(jī)上運(yùn)行的異常Android應(yīng)用程序的信號(hào),并破壞Android設(shè)備。
針對(duì)Android的Pegasus惡意軟件(Google稱之為Chrysaor)具有與針對(duì)iOS的Pegasus惡意軟件類似的間諜功能,包括鍵盤記錄、截圖和實(shí)時(shí)音頻捕、聯(lián)系人信息和瀏覽器歷史記錄。攻擊者可以通過短信來遠(yuǎn)程控制惡意軟件,如果感覺有可能被檢測到,程序會(huì)將其從手機(jī)中移除。
兩個(gè)版本之間的最大區(qū)別是,在有漏洞的Android設(shè)備上部署Pegasus惡意軟件更容易。針對(duì)iOS的Pegasus惡意軟件需要三個(gè)零日漏洞來越獄,以在目標(biāo)設(shè)備上安裝和運(yùn)行。如果攻擊未能讓設(shè)備越獄,則攻擊無法進(jìn)行。
針對(duì)Android的Pegasus惡意軟件則不需要零日漏洞,因?yàn)樗褂帽环Q為Framaroot的生根技術(shù)來升級(jí)權(quán)限并破壞Android的應(yīng)用程序沙箱。即使這個(gè)攻擊向?qū)?,Pegasus也能夠要求允許訪問和滲透數(shù)據(jù)的權(quán)限。
Chrysaor在Google Play商店中尚無法獲取,Google發(fā)現(xiàn)其安裝少于三成。Google已向潛在目標(biāo)發(fā)出通知,其中包含關(guān)于補(bǔ)救威脅的信息,此外還實(shí)施了驗(yàn)證應(yīng)用(Google Play服務(wù)中包含的設(shè)備上掃描程序)以保護(hù)用戶的更改,默認(rèn)情況下啟用。
這種特殊的威脅顯示出移動(dòng)惡意軟件的復(fù)雜性和隱蔽性。它強(qiáng)調(diào)了只有安裝來自信譽(yù)良好的來源的應(yīng)用程序(如Google Play商店和其他官方應(yīng)用商店)的重要性。 Google認(rèn)為攻擊者意在誘導(dǎo)個(gè)人將惡意軟件下載到設(shè)備上。
就像運(yùn)行軟件的其他設(shè)備一樣,移動(dòng)設(shè)備也需要及時(shí)打補(bǔ)丁。其他措施包括將鎖定屏幕PIN模式或改成他人難以猜到的密碼,以及雙重檢查驗(yàn)證應(yīng)用程序是否啟用。
最后,如果有Android/iOS設(shè)備持有者感覺已經(jīng)被Pegasus惡意軟件感染,那么應(yīng)該聯(lián)系Lookout或Google。