Lookout en Google presenteren de resultaten van gezamenlijk onderzoek naar de Android-versie van één van de meest verfijnde en doelgerichte aanvallen op smartphones en tablets: Pegasus.
NSO Group, fabrikant van cyberwapens, ontwikkelde de Pegasus-malware die mobiele devices kan jailbreaken of rooten om specifieke personen in de gaten te houden. Na een tip van een politieke dissident in de Verenigde Arabische Emiraten, riep Citizen Lab de hulp van Lookout in bij het onderzoek naar Pegasus. In augustus 2016 leidde dat tot publicatie van onderzoeksresultaten over de iOS-versie van deze dreiging: een serieuze mobiele spyware-operatie die volgens de New York Times sindsdien herhaaldelijk is gebruikt tegen onder andere Mexicaanse activisten.
Google noemt de Android-versie van deze dreiging Chrysaor, in de Griekse mythologie broer van Pegasus, maar voor de duidelijkheid noemt Lookout het
Pegasus voor Android. De dreiging moge duidelijk zijn: NSO Group beschikt over verfijnde mobiele spyware-mogelijkheden op meerdere besturingssystemen en zet deze ook daadwerkelijk in tegen individuele gebruikers.
Hoe Lookout de dreiging vond
In het onderzoek naar de iOS-versie van Pegasus maakten de onderzoekers gebruik van de uitgebreide Lookout-dataset en troffen daarin sporen van afwijkende Android-applicaties. Zonder de Lookout Security Cloud, die zorgt voor verfijnd en waardevol inzicht in wat er op elk moment in een mobiel ecosysteem gebeurt, zou Pegasus voor Android vermoedelijk nooit gevonden zijn. De Android-versie van Pegasus is actief op telefoons in onder meer Israël, Georgië, Mexico, Turkije en de Verenigde Arabische Emiraten.
Wat Pegasus voor Android doet
De Android-versie beschikt over soortgelijke spionage-functionaliteiten als Pegasus voor iOS, waaronder:
- Key loggingMaken van screenshotsOpname van live audio
- Op afstand controle over malware via SMS
- Diefstal van berichten uit apps als WhatsApp, Skype, Facebook, Twitter, Viber en Kakao
- Diefstal van browsegeschiedenis
- Diefstal van e-mail uit de standaard e-mail client van Android
- Toegang tot contactgegevens en SMS
Daarnaast verwijdert de software zichzelf wanneer:
- Het SIM MCC ID invalide is
- Er een ‘tegengif’ wordt aangetroffen
- Er 60 dagen geen contact met de Pegasus-servers is geweest
- Het een commando van de server krijgt zichzelf te verwijderen
Deze malware is duidelijk ontworpen om niet ontdekt te worden, en gaat doelgericht en verfijnd te werk.
Hoe het verschilt van de iOS-versie
Het grootste verschil tussen de iOS- en Android-versies van Pegasus is dat de Android-versie geen gebruik maakt van zero-day-kwetsbaarheden om een device te rooten.
In het onderzoek naar Pegasus voor iOS ontdekte Lookout drie kwetsbaarheden die Pegasus gebruikte om een device te jailbreaken en vervolgens de software te installeren en te draaien. Deze wordt toepasselijk ‘Trident’ (drietand) genoemd.
Pegasus voor Android maakt gebruikt van Framaroot, een bekende rooting-techniek. Wanneer bij Pegasus voor iOS de zero-day-aanval mislukte, kon er geen toegang tot het device worden verworven. In de Android-versie bouwden de aanvallers echter functionaliteit in waarmee Pegasus voor Android nog steeds toegang tot bepaalde gegevens krijgt, mocht de rooting-poging mislukken.
Na het ontdekken van de malware heeft Lookout direct contact opgenomen met Google. Lookout werkte daarop samen met het Google Security Team om de malware volledig te begrijpen. Google heeft inmiddels alle potentiële doelwitten gewaarschuwd en geïnformeerd over stappen die ze kunnen nemen om de malware te verwijderen.
Lookout roept iedereen op die vermoedt slachtoffer te zijn geweest van Pegasus voor Android of Pegasus voor iOS contact op te nemen via threatintel@lookout.com.
Lookout's volledige technische onderzoek is te lezen in het rapport Technical Analysis and Findings of Chrysaor. Wilt u meer details over Pegasus voor Android, of wilt u weten hoe de malware precies werkt? Lees dan hier het rapport.
Voor meer informatie
Pride PR
Simone Pouw / Wilco Rutenfrans
+31 71 568 00 28
lookout@pridepr.nl
Over Lookout
Lookout is een cybersecuritybedrijf dat zowel individuele gebruikers als ondernemingen de mogelijkheid biedt om op een veilige manier mobiel te werken. Security Cloud van Lookout maakt gebruik van 100 miljoen mobiele sensoren om een dataset te bouwen van zowat alle mobiele code ter wereld, waardoor het mogelijk wordt om verbindingen te detecteren die normaal gezien niet zichtbaar zouden zijn. Op die manier kunnen mobiele aanvallen worden voorspeld en tegengehouden voordat ze schade kunnen aanrichten. De grootste operatoren van mobiele netwerken, zoals AT&T, Deutsche Telekom, EE, KDDI, Orange, Sprint, T-Mobile en Telstra, hebben Lookout geselecteerd als oplossing voor mobiele beveiliging. Lookout werkt ook samen met grote ondernemingen als AirWatch, Microsoft en MobileIron. Naast het hoofdkantoor in San Francisco heeft Lookout kantoren in Amsterdam, Boston, Londen, Sydney, Tokyo, Toronto en Washington, D.C. Kijk voor meer informatie op
www.lookout.com.