一项针对2500台移动设备的定向搜索行动,旨在寻找与雇佣间谍软件相关的攻击指标,结果显示此类软件的使用并不像人们以为的那样罕见。
搜索结果
今年早些时候,iVerify在其针对安卓手机和iPhone的移动设备安全解决方案中增加了“移动威胁搜索”功能,并鼓励用户试用。
其中2500名用户进行了尝试,有六人(可能七人)发现自己感染了NSO集团的Pegasus恶意软件。
“我们的分析揭示了一个复杂的时间线:一起攻击发生在2023年末的iOS 16.6上,另一起潜在的Pegasus感染发生在2022年11月的iOS 15上,还有五起较早的感染可以追溯到2021年和2022年,涉及iOS 14和15。这些设备都可能被悄无声息地监控,数据在机主不知情的情况下被窃取。”该公司表示。
诚然,样本存在偏差:这些设备属于iVerify用户,他们更有可能成为间谍软件的攻击目标,也更有可能采取严格的安全措施,iVerify研究副总裁Matthias Frielingsdorf告诉记者。
“我不认为雇佣间谍软件在普通人群中的流行程度会这么高,即便如此,如果你把这个数字大幅削减,比如说90%,那仍然是一个惊人的恶意软件感染数量,尤其是考虑到普遍的说法是移动恶意软件极其罕见。”
Frielingsdorf解释说,iVerify的检测基于与恶意软件相关的特征码、识别设备行为强烈暗示存在恶意软件的启发式方法,以及告知设备偏离其典型状态的机器学习方法。
“我们有与所有主要商业间谍软件供应商和变种以及APT组织相关的指标,”他分享道。不过,有时这些指标并不指向已知的恶意软件/间谍软件,但仍足以表明设备很可能已被入侵。
此次搜索发现的被入侵设备所有者——政府官员、记者、人权活动家和公司高管——当然都已被告知感染情况。
预防和检测雇佣间谍软件感染
智能手机用户不太可能怀疑自己被安装了间谍软件,因为这类恶意软件通常是通过零点击漏洞植入的。
可能的迹象包括设备运行速度变慢、电池电量快速消耗或过热,但Frielingsdorf指出,即使没有恶意软件,这些情况也会不时发生在手机上。“这就是间谍软件供应商的价值主张:在几乎所有情况下,用户都不会注意到他们的设备已被感染。”
建议面临较高雇佣间谍软件攻击风险的用户启用锁定模式(仅限Apple设备),因为已知该模式可以阻止某些攻击。
一般来说,iPhone和安卓手机用户都应定期更新设备、设置密码、只从官方应用商店安装应用、避免点击来自未知发送者的链接或附件,并安装可以检测恶意软件并检查设备是否被root的移动安全解决方案。
每天重启移动设备也是一个好主意,因为雇佣间谍软件通常没有持久能力。这将迫使攻击者反复重新感染设备,而正如卡巴斯基研究人员所发现的,他们可能会偶尔放弃。
安全研究人员和技术娴熟的用户还有其他方法来验证设备是否被雇佣间谍软件入侵,例如使用国际特赦组织的移动验证工具包或卡巴斯基的iShutdown实用程序。
“iVerify [Basic]应用程序没有卸载恶意软件的权限。如果发现感染,我们会向用户显示可以采取的删除步骤。”Frielingsdorf告诉我们。
“我们的企业解决方案确实具有在设备上采取行动的能力,如果企业需要的话。”
活动家、记者、人权捍卫者或民间社会团体的成员,如果怀疑自己可能感染了间谍软件,也可以联系Access Now寻求帮助。
