E安全4月7日讯 Pegasus是一款智能手机间谍软件，由以色列监控公司NSO Group开发。Pegasus被认为是目前为止最危险的间谍软件之一。2016年8月，Pegasus软件对iPhone设备实施攻击。Pegasus利用3个当时未被发现的iOS系统“0day”漏洞实施间谍活动。

现在，谷歌和网络安全公司Lookout发现安卓版的Pegasus间谍软件，旨在利用运行安卓系统的安卓设备。谷歌最初于2016年底发现安卓版Pegasus的蛛丝马迹，当时整个14亿台安卓设备中只有少量被Pegasus感染。

与iPhone版本一样，安卓版Pegasus包含高度复杂和先进的功能，其可以通过短信息控制，并具有自毁能力。此外，它还能抓取大量通信数据、WhatsApp通话和消息记录、以及来自Gmail、Facebook、Skype和Twitter等有价值的数据。除此之外，它还能控制设备的摄像头和麦克风，并记录键盘，捕获截图。谷歌认为，尽管Pegasus具备先进的功能，但安卓版的Pegasus从未进入官方Google Play Store。

Pegasus的完整功能如下：

• 记录键盘

• 捕获截图

• 捕获实时音频

• 通过短信远程控制这款恶意软件

• 传送来自常用应用程序（包括WhatsApp、Skype、Facebook、Twitter、Viber和Kakao）的数据渗漏

• 渗漏浏览器历史

• 渗漏来自安卓Native Email客户端的电子邮件

• 联系人和短信

因具备自毁功能，Pegasus隐藏身份长达三年之久，而不被发现。Lookout的移动安全研究员Michael Flossman表示，这款恶意软件感觉自己快被发现时会立即自行删除，这也是为什么研究人员花了如此长的时间才发现该软件样本的原因。然而，谷歌和Lookout指出，虽然样本是2014年的，但仍能有力证明这款间谍软件在安卓手机上运行。

iPhone版Pegasus检测到越狱后会自行删除，但安卓版的Pegasus在发现自己在特定时间内无法连接到命令与控制（C2）服务器时，或感觉自己会被检测到时，就会自行删除。

Pegasus通过短信传播

Flossman认为，安卓版与iPhone版的Pegasus传播方式相同，都是通过短信传播。

Flossman解释称，这款监控软件中包含的各种漏洞利用会尝试在安装后运行。即使这些漏洞利用在目标设备做了修补，Pegasus仍能运行，只是功能会减少。

目前，调查人员尚不确定，安卓版Pegasus是否使用了0day漏洞利用设备。据称，Framaroot技术被用来获取设备权限（Root）。这种技术使用以《魔戒》角色命令的漏洞利用，并允许攻击者完全控制操作系统。

谷歌研究人员分析指出，大多数目标位于以色列。然而也有报告指出，格鲁吉亚、阿联酋、土耳其和墨西哥的用户也是Pegasus的目标。

值得注意的是，对于这款间谍软件还能够监听WhatsApp通话和消息记录。近期，在英国发生的恐怖袭击事件一时间让WhatsApp颇受争议，而被英国“封杀”，英国内政大臣甚至与Facebook、谷歌、微软和Twitter会面就加密问题在这方面都没有任何进展。这也证明，未来技术终将制约技术。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com