Pegasus atakuje też Androida
Znaleziono jeden z najbardziej zaawansowanych szkodliwych kodów atakujących Androida. To odmiana zidentyfikowanego przed ośmioma miesiącami kodu Pegasus, który na cel bierze iOS-a. Po odkryciu oryginalnego Pegasussa, który zainfekował iPhone'a jednego z dysydentów w Arabii Saudyjskiej, Google i firmy Lookout zaczęli przeszukiwać internet i trafili na trop Pegasusa dla Androida. Został on zainstalowany na mniej niż 30 urządzeniach, a stopień zaawansowana kodu wskazuje, że w jego powstaniu brało udział któreś z państw.
Pegasus dla Androida ma duże możliwości. Pozwala na zapisywanie naciśnięć klawiszy, przechwytywanie ekranu, przechwytywanie dźwięku i obrazu, można nim zdalnie sterować za pomocą SMS-ów, umożliwia przechwytywanie wiadomości z takich aplikacji jak m.in. WhatsApp, Skype, Facebook, Twitter, Viber czy Kakao. Napastnik ma też możliwość kradzieży historii przeglądarki, maili z androidowego klienta oraz kontaktów i kradzieży SMS-ów.
Szkodliwy kod został też wyposażony w mechanizm samozniszczenia w przypadku ryzka wykrycia. Autodestrukcja uruchamia się m.in. gdy w folderze /sdcard/MemosForNotes pojawia się plik zwalczający Pegasusa, gdy nie zgadza się kod kraju skojarzony z kartą SIM, gdy przez 60 dni Pegasus nie może połączyć się z kontrolującym go serwerem lub też gdy z serwera nadejdzie polecenie usunięcia się z zainfekowanego telefonu.
W przeciwieństwie do wersji dla iOS-a Pegasus na Androida nie wykorzystuje nieznanych dziur. Szkodliwy kod korzysta z techniki rootowania o nazwie Frameroot, dzięki której próbuje ominąć zabezpieczenia. Jeśli mu się to nie uda, prosi użytkownika o zezwolenie na dostęp do danych. Atak za jego pomocą jest zatem łatwiejszy do przeprowadzenia, a jeśli się nie powiedzie, szkodliwy kod ma inne wyjście.
Google informuje, że Pegasusa nigdy nie było w sklepie Google Play. Znaleziono go w oprogramowaniu o nazwie Verify Apps. Wiadomo, że najwięcej telefonów zainfekował w Izraelu. Kolejnymi krajami pod względem liczby infekcji są Gruzja, Meksyk, Turcja, Kenia, Kirgistan, Nigeria. Lookout i Google twierdzą, że obie wersje Pegasusa stworzyła izraelska NSO Group, znana ze sprzedaży szkodliwego kodu i tworząca go na zlecenie agend rządowych.
Komentarze (0)