世界各地的 Android 用戶,正在成為一款名叫“外星”(Alien)的新型間諜軟件的攻擊目標。有消息稱,該間諜軟件由北馬其頓一家名為 Cytrox 的公司開發。在被其感染后,設備會進一步加載名叫“掠奪者”(Predator)的惡意病毒軟件。更糟糕的是,谷歌威脅分析小組 (TAG) 已確認至少三起在野外活躍的案例。
(截圖 via CitizenLab)
Google 聲稱,被 Alien 間諜軟件利用的多個漏洞,都是由一家名叫 Cytrox 的商業監控公司 Cytrox 打包提供、並出售給不同的政府背景實體的。
與此同時,在線安全研究企業 CitizenLab 也檢測到了多次攻擊,且 Google 表示它們都與 Alien 間諜軟件有關。
穿着“搞錢”T 恤和擺拍模仿喬布斯的 Cytrox 首席執行官 Ivo Malinkovksi
具體說來是,Google 指出 Alien 間諜軟件混用了一些零日和老漏洞。且惡意軟件開發者似乎正積極尋求一些雖已提供修補、但尚未得到足夠重視的漏洞,在 Android 生態完全部署前打個攻擊的時間差。
至於病毒的主要傳播渠道,還是常見的電子郵件。若受害者點擊了可疑鏈接,就會被重定向至植入了惡意軟件的網站。在加載了其它“有效負載”(即 Predator 病毒軟件)后,才會打開最初預期的網站。
帶有惡意鏈接的圖片示例
Google 補充道:三起間諜軟件活動都通過電子郵件渠道,向目標 Android 用戶發去了基於短網址服務的一次性鏈接。
雖然活動範圍相對有限(通常僅涵蓋幾十名用戶),但不慎點擊惡意鏈接后,受害者都會被重定向至攻擊者持有的域,以在將瀏覽器引導至合法站點之前傳遞漏洞利用。
2021-06-22 資料圖:被檢測到在受害者手機上同時運行的 PegASUS 和 Predator 進程
據說除了秘密錄製音頻、隱藏應用程序,該惡意軟件還會執行一些更邪惡的活動。
最後,儘管 Google 聲稱其已推送了漏洞補丁,但廣大 Android 用戶仍需對不明來源的郵件附件和鏈接保持高度警惕。