Biến thể phần mềm gián điệp Pegasus xuất hiện trên Android

09:19 | 14/04/2017 | HACKER / MALWARE

Các chuyên gia đến từ hãng bảo mật Lookout và Google cho biết, sau 8 tháng bị phát hiện trên iOS, ứng dụng gián điệp tinh vi Pegasus đã xuất hiện trên hệ điều hành Android của Google.

Mới đây các chuyên gia an toàn mạng đã phát hiện một trong những ứng dụng gián điệp tinh vi. Ứng dụng này được viết để chạy trên hệ điều hành Android của Google và được phát hiện sau khi lây nhiễm thành công trên một số thiết bị.

Biến thể phần mềm gián điệp Pegasus xuất hiện trên Android

Có tên gọi Pegasus, phần mềm gián điệp trên Android chính là một biến thể của Pegasus trên iOS, một nền tảng gián điệp được phát hiện tháng 8/2016 trên chiếc iPhone của một nhà hoạt động nhân quyền Ả-rập. Các chuyên gia Google và Lookout đã phát hiện ra sự tồn tại của Pegasus trên Androi khi họ tìm kiếm trên Internet. Google cho biết, một tính năng an toàn của Android có tên Verify Apps phát hiện ra phiên bản Pegasus mới này đã được cài đặt trên một số thiết bị Andoid.

Giống phiên bản trên iOS, Pegasus trên Android có hàng loạt chức năng gián điệp bao gồm: Ghi lại thao tác gõ phím (Keylog); Chụp ảnh màn hình, nghe lén và quay lén, điều khiển malware từ xa qua SMS, lấy cắp dữ liệu tin nhắn từ các ứng dụng phổ biến (như WhatsApp, Skype, Facebook, Twitter, Viber và Kakao), lấy cắp lịch sử duyệt web, lấy trộm email từ ứng dụng email tích hợp trên Android, lấy trộm danh bạ và tin nhắn (SMS)

Khả năng tự huỷ

Pegasus trên Android cũng có khả năng tự phá huỷ khi nhận thấy nguy cơ bị phát hiện. Cơ chế tự huỷ có thể được kích hoạt theo nhiều cách như: tự huỷ nếu mã vùng quốc gia liên kết với thẻ SIM không hợp lệ.

Phiên bản Pegasus trên iOS kiểm soát các thiết bị mục tiêu bằng cách khai thác 3 lỗ hổng nghiêm trọng mà Apple cũng như các chuyên gia an toàn không biết đến. Thiết bị chạy iOS sẽ bị lây nhiễm khi người dùng truy cập vào một trang web đã bị tin tặc cài bẫy. (Apple đã vá các lỗ hổng mà Citizen Lab và Lookout công bố phát hiện của họ). Trong trường hợp không bẻ khoá thành công thiết bị mục tiêu, Pegasus sẽ ngừng cố gắng lây nhiễm lên chiếc iPhone đó.

Ngược lại, Pegasus trên Android không phụ thuộc vào các lỗ hổng zero-day để root thiết bị mục tiêu nhằm lây nhiễm. Thay vào đó, nó sử dụng một kỹ thuật root nổi tiếng có tên Framaroot nhằm ghi đè lên các công cụ an ninh tích hợp trong Android. Trong trường hợp root không thành công, ứng dụng gián điệp này sẽ tìm cách để nạn nhân cấp cho nó các quyền giúp lấy cắp dữ liệu. Do vậy, việc triển khai Pegasus trên Android dễ dàng hơn so với iOS và có cơ hội lây nhiễm cao hơn khi tin tặc có thể thử các cách khác nếu lần áp dụng đầu tiên không thành công.

Tính năng Verify Apps của Android xác định rằng Israel là quốc gia có nhiều smartphone nhất mà malware này nhằm vào, tiếp sau đó là Georgia, Mexico, Thổ Nhĩ Kỳ, Kenya, Kyrgyzstan, Nigeria, Tanzania, Các Tiểu vương quốc Arab thống nhất, Ukraine, và Uzbekistan.

Cả Lookout và Google đều nhận định rằng, Pegasus trên Android là do công ty NSO Group của Israel tạo ra. Công ty này chuyên đi tìm các lỗ hổng an toàn rồi bán với giá cao và công ty này cũng được cho là đứng đằng sau mã độc Pegasus phiên bản trên iOS. Dạng phần mềm được gọi với cái tên 'phần mềm đánh chặn hợp pháp' này sẽ được NSO bán cho các cơ quan thực thi pháp luật để họ điều tra và truy tìm tội phạm.

Có thể thấy, Pegasus nhằm tới những đối tượng khá đặc biệt chứ không nhằm vào người dùng thông thường.

Từ khóa:
ANDROID
PEGASUS
GOOGLE
IOS

‹ › ×

Tin liên quan

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.

Tin cùng chuyên mục

Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN

16:00 | 15/04/2024

Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.

Phát hiện lỗ hổng nghiêm trọng trong GitLab khi tạo workspace cho phép ghi đè tệp

08:00 | 06/02/2024

GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.

Lỗ hổng Windows SmartScreen bị khai thác để phát tán phần mềm độc hại Phemedrone

11:00 | 25/01/2024

Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.