一項(xiàng)針對(duì)2500臺(tái)移動(dòng)設(shè)備的定向搜索行動(dòng)，旨在尋找與雇傭間諜軟件相關(guān)的攻擊指標(biāo)，結(jié)果顯示此類(lèi)軟件的使用并不像人們以為的那樣罕見(jiàn)。

搜索結(jié)果

今年早些時(shí)候，iVerify在其針對(duì)安卓手機(jī)和iPhone的移動(dòng)設(shè)備安全解決方案中增加了“移動(dòng)威脅搜索”功能，并鼓勵(lì)用戶試用。

其中2500名用戶進(jìn)行了嘗試，有六人(可能七人)發(fā)現(xiàn)自己感染了NSO集團(tuán)的Pegasus惡意軟件。

“我們的分析揭示了一個(gè)復(fù)雜的時(shí)間線：一起攻擊發(fā)生在2023年末的iOS 16.6上，另一起潛在的Pegasus感染發(fā)生在2022年11月的iOS 15上，還有五起較早的感染可以追溯到2021年和2022年，涉及iOS 14和15。這些設(shè)備都可能被悄無(wú)聲息地監(jiān)控，數(shù)據(jù)在機(jī)主不知情的情況下被竊取?！痹摴颈硎?。

誠(chéng)然，樣本存在偏差：這些設(shè)備屬于iVerify用戶，他們更有可能成為間諜軟件的攻擊目標(biāo)，也更有可能采取嚴(yán)格的安全措施，iVerify研究副總裁Matthias Frielingsdorf告訴記者。

“我不認(rèn)為雇傭間諜軟件在普通人群中的流行程度會(huì)這么高，即便如此，如果你把這個(gè)數(shù)字大幅削減，比如說(shuō)90%，那仍然是一個(gè)驚人的惡意軟件感染數(shù)量，尤其是考慮到普遍的說(shuō)法是移動(dòng)惡意軟件極其罕見(jiàn)?！?/p>

Frielingsdorf解釋說(shuō)，iVerify的檢測(cè)基于與惡意軟件相關(guān)的特征碼、識(shí)別設(shè)備行為強(qiáng)烈暗示存在惡意軟件的啟發(fā)式方法，以及告知設(shè)備偏離其典型狀態(tài)的機(jī)器學(xué)習(xí)方法。

“我們有與所有主要商業(yè)間諜軟件供應(yīng)商和變種以及APT組織相關(guān)的指標(biāo)，”他分享道。不過(guò)，有時(shí)這些指標(biāo)并不指向已知的惡意軟件/間諜軟件，但仍足以表明設(shè)備很可能已被入侵。

此次搜索發(fā)現(xiàn)的被入侵設(shè)備所有者——政府官員、記者、人權(quán)活動(dòng)家和公司高管——當(dāng)然都已被告知感染情況。

預(yù)防和檢測(cè)雇傭間諜軟件感染

智能手機(jī)用戶不太可能懷疑自己被安裝了間諜軟件，因?yàn)檫@類(lèi)惡意軟件通常是通過(guò)零點(diǎn)擊漏洞植入的。

可能的跡象包括設(shè)備運(yùn)行速度變慢、電池電量快速消耗或過(guò)熱，但Frielingsdorf指出，即使沒(méi)有惡意軟件，這些情況也會(huì)不時(shí)發(fā)生在手機(jī)上?！斑@就是間諜軟件供應(yīng)商的價(jià)值主張：在幾乎所有情況下，用戶都不會(huì)注意到他們的設(shè)備已被感染?！?/p>

建議面臨較高雇傭間諜軟件攻擊風(fēng)險(xiǎn)的用戶啟用鎖定模式(僅限Apple設(shè)備)，因?yàn)橐阎撃Ｊ娇梢宰柚鼓承┕簟?/p>

一般來(lái)說(shuō)，iPhone和安卓手機(jī)用戶都應(yīng)定期更新設(shè)備、設(shè)置密碼、只從官方應(yīng)用商店安裝應(yīng)用、避免點(diǎn)擊來(lái)自未知發(fā)送者的鏈接或附件，并安裝可以檢測(cè)惡意軟件并檢查設(shè)備是否被root的移動(dòng)安全解決方案。

每天重啟移動(dòng)設(shè)備也是一個(gè)好主意，因?yàn)楣蛡蜷g諜軟件通常沒(méi)有持久能力。這將迫使攻擊者反復(fù)重新感染設(shè)備，而正如卡巴斯基研究人員所發(fā)現(xiàn)的，他們可能會(huì)偶爾放棄。

安全研究人員和技術(shù)嫻熟的用戶還有其他方法來(lái)驗(yàn)證設(shè)備是否被雇傭間諜軟件入侵，例如使用國(guó)際特赦組織的移動(dòng)驗(yàn)證工具包或卡巴斯基的iShutdown實(shí)用程序。

“iVerify [Basic]應(yīng)用程序沒(méi)有卸載惡意軟件的權(quán)限。如果發(fā)現(xiàn)感染，我們會(huì)向用戶顯示可以采取的刪除步驟?！盕rielingsdorf告訴我們。

“我們的企業(yè)解決方案確實(shí)具有在設(shè)備上采取行動(dòng)的能力，如果企業(yè)需要的話?！?/p>

活動(dòng)家、記者、人權(quán)捍衛(wèi)者或民間社會(huì)團(tuán)體的成員，如果懷疑自己可能感染了間諜軟件，也可以聯(lián)系A(chǔ)ccess Now尋求幫助。