iOS spyware Pegasus sada ima i Android verziju

Vesti, 05.04.2017, 03:30 AM

Bezbednosni istraživači iz kompanija Google i Lookout otkrili su novu familiju malvera za koju se veruje da je Android verzija špijunskog malvera za iOS nazvanog Pegasus.

Pegasus se pojavio 2016. kada je postao vest zbog otkrića da nije reč o običnom malveru nego o špijunskom alatu koji prodaje izraelska kompanija NSO Group.

Kao i poznata italijanska firma Hacking Team, i NSO Group razvija Pegasus i prodaje ga vladama, policijama i obaveštajnim agencijama širom sveta, čak i u državama sa nedemokratskim režimima, gde se ovaj alat koristi za praćenje disidenata i novinara.

U vreme otkrića, Pegasus je bio najnnapredniji iOS malver koji je ikada otkriven. On je koristio nekoliko iOS 0-day propusta da bi inficirao i prikupio podatke sa iPhonea žrtve.

Tokom jeseni, Apple je ispravio 0-day propuste koje je koristio Pegasus.

Istraživači Lookouta su kontaktirali Google i poslali kompaniji listu sumnjivih aplikacija za koje su mislili da su povezane sa Pegasusom i NSO Group.

Istraga koju je sproveo Google otkrila je novu familiju malvera nazvanu Chrysaor, koja je veoma slična Pegasusu.

Chrysaor može da beleži kucanje; da se krišom javlja na telefonske pozive i prisluškuje razgovore (korisnik vidi crni ekran, ali ako otključa telefon, poziv će biti prekinut); da pravi snimke ekrana, da špijunira korisnike preko prednje i zadnje kamere; da pomoću ContentObserver frameworka prikuplja sva ažuriranja za aplikacije kao što su SMS, Calendar, Contacts, Cell Info, Email, WhatsApp, Facebook, Twitter, Kakao, Viber i Skype; da krade poruke iz aplikacija kao što su WhatsApp, Twitter, Facebook, Kakao, Viber i Skype; da koristi alarm da bi ponavljao određene aktivnosti u određeno vreme; da se instalira u sistemskom folderu da bi preživeo fabričko resetovanje; da sabotira funkcije ažuriranja telefona; da se obriše kada za to dobije instrukcije ili kada je server neaktivan.

Većina ovih funkcija malvera može da se aktivira HTTP zahevom sa jednog od komandno-kontrolnih servera napadača, ili pomoću SMS poruke.

Chrysaor je najsofisticiranija pretnja sa kojom su se do sada sreli istraživači. Oni tvrde da je malver daleko kompleksniji i ima mnogo više funkcija od Pegasusa.

Chrysaor se koristi u ciljanim napadima tako da je do sada primećen mali broj napada, što je jasan znak da je ovaj napredni alat do sada primenilo samo nekoliko grupa i to u ciljanim napadima.

Žrtve su nepoznate, ali iz Googlea kažu da je najmanje tridesetak korisnika inficirano ovim malverom. Svi oni su inficirani tako što su instalirali aplikaciju iz nezvanične prodavnice aplikacija.

Pomoću funkcije Verify Apps, Google je intervenisao i deaktivirao ovakve aplikacije na telefonima žrtava.

Iz uzoraka koje su pronašli, istraživači Googlea i Lookouta su zaključili da su one nastale 2014., što bi moglo da znači da je broj žrtava i veći. Većina njih je iz Izraela, Gruzije, Meksika i Turske.

NSO Group koja je licencirani prodavac sajber oružja se ovim povodom nije oglasila.