/ Security / Pegasus: Android-Version des raffinierten Staatstrojaners aufgetaucht

Pegasus: Android-Version des raffinierten Staatstrojaners aufgetaucht

6490dcb97821233595c6086b54ee7aa0_edited_131436680_6ad7026647-62dfb2d62da48f1f.jpeg
Moritz Rosenfeld an April 5, 2017 - 8:59 pm in Security

Ist ein Smartphone mit Pegasus infiziert, können die Angreifer Audio und Video vom Gerät streamen und Ende-zu-Ende verschlüsselte Nachrichten mitlesen. Die Malware verfügt sogar über einen Selbstzerstörungsknopf, der per SMS ausgelöst werden kann.

Google und die Sicherheitsfirma Lookout haben einen Android-Ableger der notorischen iOS-Spyware Pegasus ausfindig gemacht und auseinandergenommen. Pegasus war zuerst im August auf dem iPhone eines Dissidenten in den Vereinigten Arabischen Emiraten aufgetaucht. Im Anschluss daran machten Google und Lookout sich auf die Suche nach einer Android-Version des Schädlings. Die Software soll, wie Pegasus für iOS auch, von der israelischen Sicherheitsfirma NSO Group stammen. Auf Grund der technisch raffinierten Umsetzung und den vielen Funktionen gehen die Forscher davon aus, dass die Malware als Staatstrojaner eingesetzt wird.

Die Schad-Apps für iOS und Android sind die Endpunkte einer gemeinsamen Spionage-Infrastruktur. Wird ein Android-Endgerät infiziert, haben die Drahtzieher die Möglichkeit, Tastatureingaben mitzulesen, Screenshots anzufertigen und den Browserverlauf auszulesen. Außerdem können sie sämtliche Messenger-Daten auf dem Gerät auslesen, auch von Ende-zu-Ende verschlüsselnden Diensten wie WhatsApp – sie haben auf dem Gerät schließlich Zugriff auf den unverschlüsselten Klartext. Darüber hinaus können die Angreifer in Echtzeit Video und Audio von dem Gerät streamen.

Selbstzerstörungs-Modus

Ferngesteuert werden infizierte Smartphones unter anderem per SMS. Die Drahtzieher können auf diesem Wege auch dafür sorgen, dass die Spionageapp sich zum Schutz selbst zerstört. Auf die Geräte kommt der Schadcode über die Rooting-Methode Framaroot, die bei vielen, aber längst nicht allen, Android-Geräten funktioniert. Ist eine entsprechende Lücke nicht vorhanden, fragt die App unter einem Vorwand nach Rechten, um die privaten Daten des Nutzers aus dem Gerät zu leiten.

Google hat den Schadcode nie im Play Store gefunden, der Verify-Apps-Dienst hat ihn aber auf „weniger als drei Dutzend“ Geräten weltweit entdeckt. Diese befanden sich unter anderem in der Türkei, den Vereinigten Arabischen Emiraten, der Ukraine, in Mexiko, in Kenia und in Nigeria aufgetaucht.

Eine eingehende technische Analyse des Schadcodes findet sich bei Lookout. (fab)

Read more on: Source

Kommentare sind deaktiviert