通过针对性地在 2,500 台移动设备上搜寻与雇佣型间谍软件相关的入侵指标，我们发现雇佣型间谍软件的使用并不像人们想象的那么罕见。

狩猎结果

今年早些时候，iVerify 在其针对 Android 手机和 iPhone 的移动设备安全解决方案中添加了“移动威胁搜寻”功能，并鼓励用户尝试。

其中 2,500 人这样做了，六人（可能是七人）发现他们已经感染了 NSO 集团的Pegasus 恶意软件。

“我们的分析揭示了一条复杂的入侵时间线：一次漏洞利用发生在 2023 年底的 iOS 16.6 上，另一次潜在的 Pegasus 感染发生在 2022 年 11 月的 iOS 15 上，还有五次更早的感染发生在 2021 年和 2022 年的 iOS 14 和 15 上。这些感染中的每一个都代表着一台可能被悄悄监控的设备，其数据在所有者不知情的情况下被泄露，”该公司分享道。

iVerify 研究副总裁 Matthias Frielingsdorf 向 Help Net Security 表示，诚然，样本是有偏见的：这些设备属于 iVerify 用户，他们更有可能成为间谍软件的攻击目标，也更有可能实施严格的安全措施。

“我不认为雇佣间谍软件在普通人群中的普及率会这么高；即便如此，如果你对这个数字进行大幅削减，比如说 90%，这仍然是一个惊人的恶意软件感染数量，尤其是考虑到移动恶意软件极为罕见的普遍说法。”

弗里林斯多夫解释说，iVerify 的检测基于与恶意软件相关的签名、可以发现设备何时出现强烈暗示存在恶意软件的行为的启发式方法，以及可以告诉他们设备何时偏离其典型状态的机器学习。

“我们拥有与所有主要供应商和商业间谍软件以及 APT 组织相关的指标，”他分享道。虽然有时这些指标并不指向已知的恶意软件/间谍软件，但仍足以说明该设备很可能已受到攻击。

这次搜寻发现的受感染设备的所有者——政府官员、记者、人权活动家和企业高管——当然都已收到感染通知。

预防和检测雇佣间谍软件感染

智能手机用户不太可能怀疑自己已经感染了间谍软件，因为恶意软件通常是通过零点击漏洞传播的。

可能的迹象可能是设备速度变慢、电池电量快速耗尽或过热，但弗里林斯多夫指出，即使没有恶意软件，这些情况也可能时不时发生在手机上。“这是间谍软件供应商的价值主张：在几乎所有情况下，用户都不会注意到他们的设备已被感染。”

建议那些更容易受到雇佣间谍软件攻击的用户激活锁定模式（仅限于 Apple 设备），因为该模式可以阻止某些攻击。

一般而言，iPhone 和 Android 手机用户都应定期更新设备、设置密码、只安装来自官方应用商店的应用、不要点击未知发件人的链接或附件，并安装可以检测恶意软件和检查设备是否已被 root 的移动安全解决方案。

每天重启移动设备也是个好主意，因为雇佣间谍软件通常没有持久性。这将迫使攻击者一遍又一遍地重新感染设备，正如卡巴斯基研究人员发现的那样，他们可能偶尔会放弃。

安全研究人员和技术娴熟的用户还有其他方法来验证设备是否已被雇佣间谍软件攻击，例如，使用国际特赦组织的移动验证工具包或卡巴斯基的iShutdown 实用程序。