Исследователи обнаружили вариант известной программы-шпиона Pegasus, который атакует пользователей Android, позволяя третьей стороне получать снимки экрана, перехватывать звонки, читать email-сообщения и выводить данные с мобильного устройства.

Зловред, нареченный Chrysaor, был найден совместными усилиями Google и Lookout. Он столь же сложен, как и исходный iOS-шпион, и, скорее всего, создан тем же автором, использующим эксплойты, создание которых приписывают израильской компании NSO Group Technologies.

«Pegasus для Android — живой пример ротации набора функций, наблюдаемой у правительственных хакеров и хакерских групп, спонсируемых государством, — пишут эксперты Lookout в отчете об исследовании. — Эти группировки создают APT-угрозы для мобильных устройств с конкретной целью: чтобы можно было следить за объектом не только физически, но и в виртуальном пространстве».

Google тоже опубликовала результаты анализа, отметив, что Chrysaor пока насчитывает порядка трех десятков установок. «Chrysaor не был замечен на Google Play, и число его инсталляций за пределами этого магазина очень мало», — пишут исследователи.

В отличие от Pegasus, атаковавшего три уязвимости нулевого дня в iOS, новобранец вообще не использует эксплойт для загрузки. Эксперты полагают, что злоумышленники обманом заставляют пользователя установить Chrysaor на Android-устройство. «После инсталляции удаленный оператор получает возможность отслеживать активность жертвы на устройстве и вблизи него, используя микрофон, встроенную камеру, сбор данных, регистрацию и трекинг активности приложений для связи, голосовой и с помощью SMS», — сказано в блоге Google.

Lookout со своей стороны отметила функциональное сходство Chrysaor с iOS-прототипом. В частности, оба они умеют выводить данные из таких приложений, как WhatsApp, Skype и Viber.

Образец Chrysaor, проанализированный в Google, был ориентирован на Android-устройства, работающие под управлением JellyBean (4.3) или более ранних версий. После установки этот сэмпл применил технику рутования Framaroot, позволяющую повысить привилегии на устройстве и выйти за пределы песочницы. «Если целевое устройство не уязвимо к этим эксплойтам, вредоносное приложение пытается повысить привилегии, используя бинарный файл Superuser, предустановленный в папке /system/csk», — поясняют исследователи.

Chrysaor старается избегать детектирования и самоудаляется при малейшем подозрении на такую вероятность. «Pegasus для Android удаляет себя с телефона, если SIM MCC ID не валиден, присутствует файл antidote, нет возможности связаться с сервером в течение 60 суток или с сервера получена команда на самоудаление», — сказано в отчете Lookout.

Эксперты ИБ-компании начали поиск Android-версии Pegasus после того, как у них возникли подозрения, что NSO Group, предположительно причастная к разработке этого зловреда, является регулярным поставщиком шпионского инструментария для iOS, BlackBerry и Android. «Обнаружив iOS-версию Pegasus, аналитики Lookout и специалисты по работе с данными сразу начали искать Pegasus для Android посредством автоматизированного и ручного анализа (данных телеметрии)», — пишут исследователи.

Изучение большого объема информации выявило ряд вредоносных свойств и индикаторов компрометации, которые позволили связать Chrysaor с Pegasus. Lookout поделилась находками со специалистами из Google и вместе с ними начала расследование.

«Когда Google и Lookout объявили о своем открытии, Google поименовала это семейство шпионов Chrysaor», — сказано в отчете Lookout. В древнегреческой мифологии Хрисаор был братом Пегаса.

В блог-записи Google приведены общие рекомендации по защите от Chrysaor и других потенциально опасных зловредов. Эксперты советуют устанавливать приложения лишь из надежных источников, поддерживать мобильный софт в актуальном состоянии, удостовериться, что защита Verify Apps включена, а также обязательно использовать блокировку экрана.

Категории: Аналитика, Вредоносные программы