Pegasus：史上最危險的手機間諜軟體 具備自毀功能

E安全4月7日訊 Pegasus是一款智能手機間諜軟體，由以色列監控公司NSO Group開發。Pegasus被認為是目前為止最危險的間諜軟體之一。2016年8月，Pegasus軟體對iPhone設備實施攻擊。Pegasus利用3個當時未被發現的iOS系統「0day」漏洞實施間諜活動。

現在，谷歌和網路安全公司Lookout發現安卓版的Pegasus間諜軟體，旨在利用運行安卓系統的安卓設備。谷歌最初於2016年底發現安卓版Pegasus的蛛絲馬跡，當時整個14億台安卓設備中只有少量被Pegasus感染。

與iPhone版本一樣，安卓版Pegasus包含高度複雜和先進的功能，其可以通過簡訊息控制，並具有自毀功能。此外，它還能抓取大量通信數據、WhatsApp通話和消息記錄、以及來自Gmail、Facebook、Skype和Twitter等有價值的數據。除此之外，它還能控制設備的攝像頭和麥克風，並記錄鍵盤，捕獲截圖。谷歌認為，儘管Pegasus具備先進的功能，但安卓版的Pegasus從未進入官方Google Play Store。

Pegasus的完整功能如下：

• 記錄鍵盤

• 捕獲截圖

• 捕獲實時音頻

• 通過簡訊遠程控制這款惡意軟體

• 傳送來自常用應用程序（包括WhatsApp、Skype、Facebook、Twitter、Viber和Kakao）的數據滲漏

• 滲漏瀏覽器歷史

• 滲漏來自安卓Native Email客戶端的電子郵件

• 聯繫人和簡訊

因具備自毀功能，Pegasus隱藏身份長達三年之久，而不被發現。Lookout的移動安全研究員Michael Flossman表示，這款惡意軟體感覺自己快被發現時會立即自行刪除，這也是為什麼研究人員花了如此長的時間才發現該軟體樣本的原因。然而，谷歌和Lookout指出，雖然樣本是2014年的，但仍能有力證明這款間諜軟體在安卓手機上運行。

iPhone版Pegasus檢測到越獄後會自行刪除，但安卓版的Pegasus在發現自己在特定時間內無法連接到命令與控制（C2）伺服器時，或感覺自己會被檢測到時，就會自行刪除。

Pegasus通過簡訊傳播

Flossman認為，安卓版與iPhone版的Pegasus傳播方式相同，都是通過簡訊傳播。

Flossman解釋稱，這款監控軟體中包含的各種漏洞利用會嘗試在安裝后運行。即使這些漏洞利用在目標設備做了修補，Pegasus仍能運行，只是功能會減少。

目前，調查人員尚不確定，安卓版Pegasus是否使用了0day漏洞利用設備。據稱，Framaroot技術被用來獲取設備許可權（Root）。這種技術使用以《魔戒》角色命令的漏洞利用，並允許攻擊者完全控制操作系統。

谷歌研究人員分析指出，大多數目標位於以色列。然而也有報告指出，喬治亞、阿聯酋、土耳其和墨西哥的用戶也是Pegasus的目標。

值得注意的是，對於這款間諜軟體還能夠監聽WhatsApp通話和消息記錄。近期，在英國發生的恐怖襲擊事件一時間讓WhatsApp頗受爭議，而被英國「封殺」，英國內政大臣甚至與Facebook、谷歌、微軟和Twitter會面就加密問題在這方面都沒有任何進展。這也證明，未來技術終將制約技術。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱[email protected]