Pegasus:史上最危险的安卓版间谍软件 具备自毁功能
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全4月7日讯 Pegasus是一款智能手机间谍软件,由以色列监控公司NSO Group开发。Pegasus被认为是目前为止最危险的间谍软件之一。2016年8月,Pegasus软件对iPhone设备实施攻击。Pegasus利用3个当时未被发现的iOS系统“0day”漏洞实施间谍活动。
现在,谷歌和网络安全公司Lookout发现安卓版的Pegasus间谍软件,旨在利用运行安卓系统的安卓设备。谷歌最初于2016年底发现安卓版Pegasus的蛛丝马迹,当时整个14亿台安卓设备中只有少量被Pegasus感染。
与iPhone版本一样,安卓版Pegasus包含高度复杂和先进的功能,其可以通过短信息控制,并具有自毁能力。此外,它还能抓取大量通信数据、WhatsApp通话和消息记录、以及来自Gmail、Facebook、Skype和Twitter等有价值的数据。除此之外,它还能控制设备的摄像头和麦克风,并记录键盘,捕获截图。谷歌认为,尽管Pegasus具备先进的功能,但安卓版的Pegasus从未进入官方Google Play Store。
Pegasus的完整功能如下:
记录键盘
捕获截图
捕获实时音频
通过短信远程控制这款恶意软件
传送来自常用应用程序(包括WhatsApp、Skype、Facebook、Twitter、Viber和Kakao)的数据渗漏
渗漏浏览器历史
渗漏来自安卓Native Email客户端的电子邮件
联系人和短信
因具备自毁功能,Pegasus隐藏身份长达三年之久,而不被发现。Lookout的移动安全研究员Michael Flossman表示,这款恶意软件感觉自己快被发现时会立即自行删除,这也是为什么研究人员花了如此长的时间才发现该软件样本的原因。然而,谷歌和Lookout指出,虽然样本是2014年的,但仍能有力证明这款间谍软件在安卓手机上运行。
iPhone版Pegasus检测到越狱后会自行删除,但安卓版的Pegasus在发现自己在特定时间内无法连接到命令与控制(C2)服务器时,或感觉自己会被检测到时,就会自行删除。
Pegasus通过短信传播
Flossman认为,安卓版与iPhone版的Pegasus传播方式相同,都是通过短信传播。
Flossman解释称,这款监控软件中包含的各种漏洞利用会尝试在安装后运行。即使这些漏洞利用在目标设备做了修补,Pegasus仍能运行,只是功能会减少。
目前,调查人员尚不确定,安卓版Pegasus是否使用了0day漏洞利用设备。据称,Framaroot技术被用来获取设备权限(Root)。这种技术使用以《魔戒》角色命令的漏洞利用,并允许攻击者完全控制操作系统。
谷歌研究人员分析指出,大多数目标位于以色列。然而也有报告指出,格鲁吉亚、阿联酋、土耳其和墨西哥的用户也是Pegasus的目标。
值得注意的是,对于这款间谍软件还能够监听WhatsApp通话和消息记录。近期,在英国发生的恐怖袭击事件一时间让WhatsApp颇受争议,而被英国“封杀”,英国内政大臣甚至与Facebook、谷歌、微软和Twitter会面就加密问题在这方面都没有任何进展。这也证明,未来技术终将制约技术。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。