一項針對2500臺移動設備的定向搜索行動，旨在尋找與雇傭間諜軟件相關的攻擊指標，結果顯示此類軟件的使用并不像人們以為的那樣罕見。

搜索結果

今年早些時候，iVerify在其針對安卓手機和iPhone的移動設備安全解決方案中增加了“移動威脅搜索”功能，并鼓勵用戶試用。

其中2500名用戶進行了嘗試，有六人(可能七人)發(fā)現自己感染了NSO集團的Pegasus惡意軟件。

“我們的分析揭示了一個復雜的時間線：一起攻擊發(fā)生在2023年末的iOS 16.6上，另一起潛在的Pegasus感染發(fā)生在2022年11月的iOS 15上，還有五起較早的感染可以追溯到2021年和2022年，涉及iOS 14和15。這些設備都可能被悄無聲息地監(jiān)控，數據在機主不知情的情況下被竊取。”該公司表示。

誠然，樣本存在偏差：這些設備屬于iVerify用戶，他們更有可能成為間諜軟件的攻擊目標，也更有可能采取嚴格的安全措施，iVerify研究副總裁Matthias Frielingsdorf告訴記者。

“我不認為雇傭間諜軟件在普通人群中的流行程度會這么高，即便如此，如果你把這個數字大幅削減，比如說90%，那仍然是一個驚人的惡意軟件感染數量，尤其是考慮到普遍的說法是移動惡意軟件極其罕見?！?/p>

Frielingsdorf解釋說，iVerify的檢測基于與惡意軟件相關的特征碼、識別設備行為強烈暗示存在惡意軟件的啟發(fā)式方法，以及告知設備偏離其典型狀態(tài)的機器學習方法。

“我們有與所有主要商業(yè)間諜軟件供應商和變種以及APT組織相關的指標，”他分享道。不過，有時這些指標并不指向已知的惡意軟件/間諜軟件，但仍足以表明設備很可能已被入侵。

此次搜索發(fā)現的被入侵設備所有者——政府官員、記者、人權活動家和公司高管——當然都已被告知感染情況。

預防和檢測雇傭間諜軟件感染

智能手機用戶不太可能懷疑自己被安裝了間諜軟件，因為這類惡意軟件通常是通過零點擊漏洞植入的。

可能的跡象包括設備運行速度變慢、電池電量快速消耗或過熱，但Frielingsdorf指出，即使沒有惡意軟件，這些情況也會不時發(fā)生在手機上?！斑@就是間諜軟件供應商的價值主張：在幾乎所有情況下，用戶都不會注意到他們的設備已被感染?！?/p>

建議面臨較高雇傭間諜軟件攻擊風險的用戶啟用鎖定模式(僅限Apple設備)，因為已知該模式可以阻止某些攻擊。

一般來說，iPhone和安卓手機用戶都應定期更新設備、設置密碼、只從官方應用商店安裝應用、避免點擊來自未知發(fā)送者的鏈接或附件，并安裝可以檢測惡意軟件并檢查設備是否被root的移動安全解決方案。

每天重啟移動設備也是一個好主意，因為雇傭間諜軟件通常沒有持久能力。這將迫使攻擊者反復重新感染設備，而正如卡巴斯基研究人員所發(fā)現的，他們可能會偶爾放棄。

安全研究人員和技術嫻熟的用戶還有其他方法來驗證設備是否被雇傭間諜軟件入侵，例如使用國際特赦組織的移動驗證工具包或卡巴斯基的iShutdown實用程序。

“iVerify [Basic]應用程序沒有卸載惡意軟件的權限。如果發(fā)現感染，我們會向用戶顯示可以采取的刪除步驟?！盕rielingsdorf告訴我們。

“我們的企業(yè)解決方案確實具有在設備上采取行動的能力，如果企業(yè)需要的話?！?/p>

活動家、記者、人權捍衛(wèi)者或民間社會團體的成員，如果懷疑自己可能感染了間諜軟件，也可以聯系Access Now尋求幫助。