上周四,Google 的 Threat Analysis Group(TAG)公开了 3 项活动细节,共同特点是使用了由北马其顿公司 Cytrox 开发的 Predator 间谍软件。与 NSO Group 开发强悍 Pegasus 恶意软件针对 iOS 系统不同,该 Predator 软件则是针对 Android 用户。
与多伦多大学 Citizen Lab 的研究人员在 12 月发表的关于 Cytrox 的研究结果一致,TAG 看到有证据表明,购买 Android 漏洞的国家支持的行为者位于埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。而且可能还有其他客户。黑客工具利用了 5 个以前未知的Android漏洞,以及已知的缺陷,这些缺陷有可用的修复方法,但受害者没有修补。
Google TAG 主管谢恩·亨特利(Shane Huntley)说:“重要的是要让人们了解监控供应商的生态系统以及这些漏洞是如何被出售的。我们希望减少供应商和政府以及其他购买其产品的行为者在没有任何成本的情况下抛出这些危险零日的能力。如果没有监管,没有使用这些能力的坏处,那么你会看到它越来越多”。
商业间谍软件行业让那些没有资金或专业知识来开发自己的黑客工具的政府获得了一系列广泛的产品和监控服务。这使压迫性政权和执法部门能够更广泛地获得工具,使他们能够监视持不同政见者、人权活动家、记者、政治对手和普通公民。虽然很多注意力都集中在针对苹果公司 iOS 系统的间谍软件上,但Android系统是全球的主流操作系统,也一直面临着类似的利用企图。
Huntley 表示:“我们只是想保护用户,并尽快发现这种活动。我们不认为我们能一直找到所有的东西,但我们可以减缓这些行为者的速度”。
TAG 公司说,它目前跟踪了 30 多家监控租赁供应商,他们有不同程度的公开存在,并提供一系列的漏洞和监控工具。在 TAG 检查的三个 Predator 活动中,攻击者通过电子邮件向Android用户发送一次性链接,看起来像是用标准 URL 缩短器缩短的。