点击上方“CSDN”，选择“置顶公众号”

关键时刻，第一时间送达！

昨日，根据卡巴斯基实验室公布的一份报告，研究人员发现了一款相当强悍的恶意软件，名为“Skygofree”的App，能够监视基于位置的录音信息，同时还有一系列其他新功能。

据福布斯等多家媒体报道，该恶意软件是由一家专门售卖监控软件的意大利公司Negg International出售。报告称，该软件已经感染了若干个意大利Android手机用户，并伪装成虚假网站进行传播。

攻击过程

自2014年起，这款恶意软件就持续进行开发，并伪装成Vodafone（英国电信公司）或其他通信运营商的登录网页进行传播。它依赖于五个不同的漏洞获得特权访问权限，能伪装成各种看似没有危险的系统，进入用户设备，并且还能绕过安卓系统自身的安全机制，从而获取设备存储芯片中的通话记录、文字短信、位置信息、日程活动，以及一些与商业相关的信息，甚至还能获取拍照和录像的权限。

恶意程序窃取的权限

简单来讲，Skygofree有如下几个特点：一是在受感染设备处于操作恶意软件的人员特定位置时，能自动记录对话和环境噪音；二是通过滥用安卓系统给残障人士提供的辅助工具，窃取用户在WhatsApp上的聊天记录；三是能使受感染设备连接到攻击者控制的Wi-Fi网络。

此外，Skygofree还有几项高级功能，如反向shell，让攻击者能更好地远程控制受感染的设备，并附带有各类Windows组件，包括反向shell，键盘记录器，以及用户记录Skype对话的机制。

破坏力度

实际上，在卡巴斯基研究人员看来，这款恶意软件的破坏程度将与Pegasus相“媲美”。后者于2016年8月发现，存在于iOS系统中，当时差点感染了阿联酋人权活动人士的手机。简单来讲，Pegasus是由以色列NSO集团开发的全功能间谍平台，用户点击短信内的链接后，攻击者就会利用漏洞，对用户手机“远程越狱”，然后安装间谍软件，对设备进行全面控制。Pegasus还能获取设备中的数据，通过麦克风监听对话，跟踪WhatsApp，Skype，Facebook，Twitter等即时通讯应用中的对话内容。

研究人员在报告Skygofree: Following in the footsteps of HackingTeam（详情参考：https://securelist.com/skygofree-following-in-the-footsteps-of-hackingteam/83603/）中写道：“Skygofree Android应用程序是我们见过的最强大的监控软件之一。经过多次迭代开发，它具有了很多的功能。”也就是说，三年的不断进化已经使Skygofree拥有更多新的功能，同时隐蔽性极强。

幕后黑手

随着研究版本中有关h3g.co域名的浮现，直接将矛头指向了注册该域名的意大利公司Negg International，这为经常开发和维护代码的人员提供了价值线索。

伪装成Venafone和Three的恶意程序登录页面

据福布斯报道，“Negg网站的缓存版本显示，该公司提供了网络安全和应用程序开发服务。尽管没有任何有关监视工具的宣传，但却有能为计算机收集证据的功能，另外，还有一个视频提及了如何帮助政府打击犯罪。此外，据了解在2015年，该公司正在寻找Android和iOS软件工程师，要求候选人了解‘恶意软件的动态和静态分析技术’。而在这一年，恰恰是间谍工具最为活跃的一年。”

与此同时，接近监控领域的两名意大利消息人士提到，“不同于Hacking Team、Area、IPS等进行跨国合作的公司，Negg是一家主要跟意大利的检察官合作的小公司。”

尽管目前Negg公司尚未针对此事作出回应，但一旦有关消息确凿，将无疑成为继上述2016年恶意软件攻击事件的“再一力作”。

总结

要解决恶意软件带来的问题，就首先要了解它为什么会出现，以及人们利用恶意软件要实现什么目的。虽然Skygofree恶意软件仅在意大利发现，但卡巴斯基研究人员Vicente Diaz认为，世界各地的政府可能会加强通过这种方式窥探智能设备的投入。“即使这种情况并不普遍，但这种由政府资助的间谍活动未来肯定会由移动设备开始。 ”

而严格意义来讲，多数用户受到该类软件攻击的可能性较小，更应该时刻关注所访问的网站地址，并尽量从官方应用商店安装软件。