(来自:Avast)
尽管 Candiru 冠冕堂皇地宣称,其软件旨在供政府与执法机构用来阻止潜在的恐怖主义和犯罪。
去年 11 月,美政府将四家从事违反美国国家安全活动的外国公司,列入了美国商务部的制裁名单。
除了 NSO Group、Computer Security Initiative Consultancy PTE(COSEINC)和 Positive Technologies,Candiru 也榜上有名。
注入受感染 站(stylishblock[.]com)的恶意代码
以植入黎巴嫩新闻机构 站的 Chrome 零日漏洞为例,其旨在从受害者的浏览器中收集大约 50 个数据点。
通过分析语言、时区、屏幕信息、设备类型、浏览器插件和设备内存,来确保只有被特别针对的目标会受到损害。
找到目标后,间谍软件会利用 Chrome 零日漏洞在受害者的机器上扎根,研究人员称之为‘魔鬼舌’(DevilsTongue)。
易受攻击的 ioctl 处理程序之一
与其它此类间谍软件一样,DevilsTongue 能够窃取受害者手机上的内容 —— 包括消息、照片和通话记录,并实时跟踪受害者的位置。
Avast 于 7 月 1 日向 Google 披露了该漏洞(编 为 CVE-2022-2294),并于几天后(7 月 4 日)发布的 Chrome 103 中加以修复。
当时 Google 表示其已意识到在野外的漏洞利用,而自去年 7 月被微软和 Citizen Lab 首次曝光以来,相关调查表明该间谍软件制造商已至少针对百余名目标发起了攻击。
Avast 补充道:在去年 Citizen Lab 更新其恶意软件以躲避安全检测后,Candiru 似乎一直保持着低调,直到最近一轮攻击才又冒头。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!