Google 的安全研究员 Łukasz 表示有一个 Android 程序在 VirusTotal 被部分杀软误报标记为 Pegasus(注:Pegasus 是以色列 NSO 公司开发的间谍软件),一共有 32 家引擎检出威胁。
VirusTotal
https://www.virustotal.com/gui/file/d257cfde7599f4e20ee08a62053e6b3b936c87d373e6805f0e0c65f1d39ec320/detection
简单看,检出的 32 家引擎中的 Sophos 以及 Arcabit 将该样本判定为 Pegasus。
实际上没有这么简单,Chrysaor 是 Pegasus 的别名,又有 5 家引擎将其认为是 Pegasus 了,其中也包括 ESET、TrendMicro 这样的业界巨擘。
甚至连 Intezer 都将其认为是 Pegasus:
但事情真的是这样吗?通过静态信息的包名 com.xxGameAssistant.pao 可以查到应用本身。
应用程序本身叫叉叉酷跑助手,看描述也应该能发现是个游戏外挂。
该程序还使用了 TalkingData 数据分析和数字营销平台服务,Łukasz 表示一个正经间谍软件谁用这玩意:
看着这应该与 Pegasus 无关,那么为什么包括 Intezer 在内的几家厂商会将其认为是 Pegasus 呢?实际上真的 Pegasus 恶意样本文件中存在 /res/raw/addk 文件,包含如下字符串:
VirusTotal
https://www.virustotal.com/gui/file/ade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d5/detection
这样就能定性二者相似吗?不能,因为实际上他们都使用了名为 droid-injectso 的开源项目来实现代码注入,在这个项目中包含上述字符串。
GitHub
https://github.com/yurushao/droid_injectso
VirusTotal
https://www.virustotal.com/gui/file/856061a1d0868d7ce3aa0d3d12e0c67a9278dc84a826293e3f1af231acfb542b/detection
Medium
https://jonathandata1.medium.com/pegasus-spyware-untold-chinese-engineering-samples-1-2-e5aba2a0b20b
另外,引擎之间也存在 OEM 的情况,例如检出结果中存在 Trojan.GenericKD.46667340 的应该就是明显采用了 BitDefender 引擎的厂商。此外还有其他厂商间的 OEM 情况,查阅时留心就可以发现端倪。在这种情况下,一个检出,就会伴有同类引擎的数个检出,尽管他们来自不同的厂商。可见,检出引擎的数量也并不是判断该样本隐蔽性的绝对衡量标准。
原文始发于微信公众号(威胁棱镜):从一例 Pegasus 误报说开去