当有通话开始、中断、结束,或者有另一通电话时,这个库就会发布全系统的通知。只要知道通知的ID任何程序都能够接收到事件。通知的ID是唯一的,长达56个字符,似乎是sha224哈希函数的输出值。Pegasus还有一个录音模块会专门监听这些ID。libwacalls发送这些通知,然后libaudio.dylib就会进行处理,Pegasus从而就能对用户的WhatsApp通话进行录音。
Libaudio会把通话录音保存在如下目录:
• micFileName – /private/var/tmp/cr/x.<call_id>.caf
• spkFileName – /private/var/tmp/cr/t.<call_id>.caf
• sentryFileName – /private/var/tmp/cr/z.<call_id>.caf
总结
手机在我们的日常生活中无处不在,因此对于攻击者来说也是非常重要的目标。
据报道NSO小组有几百名员工,年收入高达几百万美金,就是网络世界中的军火商。NSO也不是唯一一家出售这类间谍软件的公司,我们曾经见过的就有Hacking Team、Finfisher等。
因此,我们还是建议广大iOS用户,尽快升级到最新系统。