Pegasus of Chrysaor?
Lees verder na de advertentie.
De ontdekte malwarefamilie is gerelateerd aan Pegasus, een vorig jaar ontdekte iOS-malware-familie. Google heeft het daarbij over ‘een broer van Pegasus’ en geeft de malware de name ‘Chrysaor’ en Lookout noemt de malware ‘Pegasus voor Android’. Chrysaor is in de Griekse mythologie de broer van het gevleugelde paard Pegasus.
Er zijn verschillende varianten van Chrysaor in de omloop die specifiek gemaakt lijken te zijn om een bepaalde Android-versie en zelfs een bepaald merk toestel te besmetten. Daarbij nestelt de malware zich in het systeem door eerst root-toegang te verkrijgen. Zo voorkomt Chrysaor dat de applicatie verwijderd wordt bij het terugzetten naar systeeminstellingen. Daarnaast wordt de automatische updatefunctie van het toestel uitgeschakeld, zodat beveiligingsupdates niet meer binnen zullen komen.
Eenmaal ingeschakeld gebruikt de malware verschillende manieren om het doelwit te bespioneren. Daarbij worden onder andere automatisch locatiedata op vaste tijden doorgestuurd. Ook worden gegevens als smsberichten, gesprekkenlijsten, browsergeschiedenis, afspraken, contacten en e-mails doorgestuurd. Daarnaast worden berichten van WhatsApp, Twitter, Facebook, Kakoa, Viber en Skype afgeluisterd. Verder worden er screenshots gemaakt, wordt de tekstinvoer afgeluisterd en kan de gebruiker worden afgeluisterd door een telefoongesprek op te zetten dat voor de gebruiker onzichtbaar is. Wanneer de gebruiker de telefoon dan ontgrendeld, wordt het gesprek automatisch afgesloten.
Het interessante aan Chrysaor is dat deze spyware zelfvernietigend is. Dit gebeurt met een commando op afstand, wanneer de simkaart uit het toestel gehaald wordt of niet correct is, of wanneer er twee maanden geen contact opgenomen kan worden met de beheerserver.
Enkele besmettingen
Het lijkt er op dat Chrysaor alleen gebruikt is om specifieke personen aan te vallen. Google geeft aan dat er enkele tientallen apparaten ontdekt zijn waarop Chrysaor geïnstalleerd stond. De eigenaren van deze apparaten hebben van Google een beveiligingswaarschuwing gekregen met informatie over hoe de malware te verwijderen is.
In de grafiek hierboven is te zien in welke landen de malware op toestellen geïnstalleerd stond. De meeste installaties waren in het thuisland van de NSO Group, Israël. Er is ook een installatie te zien in de Verenigde Arabische Emiraten. Daar dook de iOS-variant van Pegasus voor het eerst op toen een dissident de spyware op zijn iPhone ontdekte.
Hoe voorkom je besmetting?
Er zijn geen extra beveiligingsstappen nodig om besmetting met Chrysaor te voorkomen. De malware is volgens Google nooit via de Play Store verspreid en wordt alleen gericht, voor het bespioneren van bijvoorbeeld dissidenten, ingezet. Het blijft verstandig om alleen apps vanuit de Play Store te installeren en de Google-instellingen op Android-apparaten, bij ‘Beveiliging’ de functie ‘Apps verifiëren‘ in te schakelen. Dit is de ingebouwde malwarescanner van Android. Meer informatie over de beveiligingsmaatregelen die Google neemt, vind je in ons uitgebreide artikel hier.
Reacties
Inloggen of registreren
om een reactie achter te laten
Handig die grafiek…. /s