Vorig jaar was er flink wat te doen rondom Pegasus, malware voor Apple’s iOS die gebruikt werd bij doelgerichte aanvallen. Nu blijkt dat de zelfde soort malware ook op Android te gebruiken is. De malware kan mobiele apparaten jailbreaken of rooten om op dit manier specifieke personen in de gaten te houden. Gevaarlijk, zeker als je bijvoorbeeld voor de overheid werkt of juist onderdeel bent van de oppositie in een niet zo democratisch land.
Maar ook als gewone burger is het vervelend, want je persoonlijke informatie kan in verkeerde handen terechtkomen of je kunt worden afgeperst. Lookout en Google onderzochten de malware en komen nu met hun conclusies (pdf).
Pegasus werd ontwikkeld door de NSO Group, een Israëlische fabrikant van cyberwapens. Afgelopen zomer werd de kwaadaardige software ontdekt. Op Android en iOS kan de malware onder meer screenshots maken, live audio opnemen, berichten uit apps als WhatsApp en Skype stelen, de browsergeschiedenis delen, je contactgegevens en SMS’jes inzien en is het ook nog eens een keylogger, die elke letter die je typt doorstuurt. Kort samengevat: deze malware wil je niet op je telefoon hebben staan.
De software verwijdert zichzelf bovendien als het in gevaar komt. Is er bijvoorbeeld in zestig dagen geen contact geweest met de servers van Pegasus, wordt er een ’tegengif’ aangetroffen of krijgt het een commando van de server, dan verwijdert het zichzelf. Daardoor is het lastig om te ontdekken of je de malware hebt of hebt gehad. De Android-versie is volgens de onderzoekers actief op telefoons in onder andere Israël, Georgië, Mexico, Turkije en de Verenigde Arabische Emiraten.
Resultaten
De onderzoekers hebben (gelukkig!) veel inzicht gekregen in hoe de malware werkt. Op Android maakt het gebruik van Framaroot, een bekende rooting-techniek. Mocht deze poging echter mislukken, dan heeft de malware nog een functionaliteit waarmee het nog steeds toegang tot bepaalde gegevens krijgt. Op iOS is dat niet mogelijk.
Lookout heeft direct contact opgenomen met Google, de maker van Android, na het ontdekken van de malware, waarna het bedrijf samen ging werken met het Google Security Team. Alle potentiële doelwitten zijn inmiddels door Google gewaarschuwd en geïnformeerd over de stappen die ze kunnen nemen om de malware te verwijderen. Vermoed je slachtoffer te zijn geweest van Pegasus op Android of iOS, dan roept Lookout je op om contact op te nemen via [email protected].