Biến thể phần mềm gián điệp Pegasus xuất hiện trên Android

09:19 | 14/04/2017 | HACKER / MALWARE

Các chuyên gia đến từ hãng bảo mật Lookout và Google cho biết, sau 8 tháng bị phát hiện trên iOS, ứng dụng gián điệp tinh vi Pegasus đã xuất hiện trên hệ điều hành Android của Google.

Mới đây các chuyên gia an toàn mạng đã phát hiện một trong những ứng dụng gián điệp tinh vi. Ứng dụng này được viết để chạy trên hệ điều hành Android của Google và được phát hiện sau khi lây nhiễm thành công trên một số thiết bị.

Biến thể phần mềm gián điệp Pegasus xuất hiện trên Android

Có tên gọi Pegasus, phần mềm gián điệp trên Android chính là một biến thể của Pegasus trên iOS, một nền tảng gián điệp được phát hiện tháng 8/2016 trên chiếc iPhone của một nhà hoạt động nhân quyền Ả-rập. Các chuyên gia Google và Lookout đã phát hiện ra sự tồn tại của Pegasus trên Androi khi họ tìm kiếm trên Internet. Google cho biết, một tính năng an toàn của Android có tên Verify Apps phát hiện ra phiên bản Pegasus mới này đã được cài đặt trên một số thiết bị Andoid.

Giống phiên bản trên iOS, Pegasus trên Android có hàng loạt chức năng gián điệp bao gồm: Ghi lại thao tác gõ phím (Keylog); Chụp ảnh màn hình, nghe lén và quay lén, điều khiển malware từ xa qua SMS, lấy cắp dữ liệu tin nhắn từ các ứng dụng phổ biến (như WhatsApp, Skype, Facebook, Twitter, Viber và Kakao), lấy cắp lịch sử duyệt web, lấy trộm email từ ứng dụng email tích hợp trên Android, lấy trộm danh bạ và tin nhắn (SMS)

Khả năng tự huỷ

Pegasus trên Android cũng có khả năng tự phá huỷ khi nhận thấy nguy cơ bị phát hiện. Cơ chế tự huỷ có thể được kích hoạt theo nhiều cách như: tự huỷ nếu mã vùng quốc gia liên kết với thẻ SIM không hợp lệ.

Phiên bản Pegasus trên iOS kiểm soát các thiết bị mục tiêu bằng cách khai thác 3 lỗ hổng nghiêm trọng mà Apple cũng như các chuyên gia an toàn không biết đến. Thiết bị chạy iOS sẽ bị lây nhiễm khi người dùng truy cập vào một trang web đã bị tin tặc cài bẫy. (Apple đã vá các lỗ hổng mà Citizen Lab và Lookout công bố phát hiện của họ). Trong trường hợp không bẻ khoá thành công thiết bị mục tiêu, Pegasus sẽ ngừng cố gắng lây nhiễm lên chiếc iPhone đó.

Ngược lại, Pegasus trên Android không phụ thuộc vào các lỗ hổng zero-day để root thiết bị mục tiêu nhằm lây nhiễm. Thay vào đó, nó sử dụng một kỹ thuật root nổi tiếng có tên Framaroot nhằm ghi đè lên các công cụ an ninh tích hợp trong Android. Trong trường hợp root không thành công, ứng dụng gián điệp này sẽ tìm cách để nạn nhân cấp cho nó các quyền giúp lấy cắp dữ liệu. Do vậy, việc triển khai Pegasus trên Android dễ dàng hơn so với iOS và có cơ hội lây nhiễm cao hơn khi tin tặc có thể thử các cách khác nếu lần áp dụng đầu tiên không thành công.

Tính năng Verify Apps của Android xác định rằng Israel là quốc gia có nhiều smartphone nhất mà malware này nhằm vào, tiếp sau đó là Georgia, Mexico, Thổ Nhĩ Kỳ, Kenya, Kyrgyzstan, Nigeria, Tanzania, Các Tiểu vương quốc Arab thống nhất, Ukraine, và Uzbekistan.

Cả Lookout và Google đều nhận định rằng, Pegasus trên Android là do công ty NSO Group của Israel tạo ra. Công ty này chuyên đi tìm các lỗ hổng an toàn rồi bán với giá cao và công ty này cũng được cho là đứng đằng sau mã độc Pegasus phiên bản trên iOS. Dạng phần mềm được gọi với cái tên 'phần mềm đánh chặn hợp pháp' này sẽ được NSO bán cho các cơ quan thực thi pháp luật để họ điều tra và truy tìm tội phạm.

Có thể thấy, Pegasus nhằm tới những đối tượng khá đặc biệt chứ không nhằm vào người dùng thông thường.

Từ khóa:
ANDROID
PEGASUS
GOOGLE
IOS

‹ › ×

Tin liên quan

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.

Tin cùng chuyên mục

Rò rỉ 272 nghìn dữ liệu quân nhân của Anh

10:00 | 14/05/2024

Bộ Quốc phòng Anh vừa tiết lộ một vụ vi phạm dữ liệu tại hệ thống trả lương của bên thứ ba làm lộ dữ liệu của 272 nghìn quân nhân và cựu chiến binh trong lực lượng vũ trang.

3 ứng dụng chứa mã độc XploitSPY tồn tại trên Google Play

10:00 | 07/05/2024

Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.

Khám phá chiến dịch phát tán RAT độc hại thông qua các nền tảng họp trực tuyến

10:00 | 13/03/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.