Biến thể phần mềm gián điệp Pegasus xuất hiện trên Android

09:06 | 14/04/2017

Các chuyên gia đến từ hãng bảo mật Lookout và Google cho biết, sau 8 tháng bị phát hiện trên iOS, ứng dụng gián điệp tinh vi Pegasus đã xuất hiện trên hệ điều hành Android của Google.

Mới đây các chuyên gia an toàn mạng đã phát hiện một trong những ứng dụng gián điệp tinh vi. Ứng dụng này được viết để chạy trên hệ điều hành Android của Google và được phát hiện sau khi lây nhiễm thành công trên một số thiết bị.



Có tên gọi Pegasus, phần mềm gián điệp trên Android chính là một biến thể của Pegasus trên iOS, một nền tảng gián điệp được phát hiện tháng 8/2016 trên chiếc iPhone của một nhà hoạt động nhân quyền Ả-rập. Các chuyên gia Google và Lookout đã phát hiện ra sự tồn tại của Pegasus trên Androi khi họ tìm kiếm trên Internet. Google cho biết, một tính năng an toàn của Android có tên Verify Apps phát hiện ra phiên bản Pegasus mới này đã được cài đặt trên một số thiết bị Andoid.

Giống phiên bản trên iOS, Pegasus trên Android có hàng loạt chức năng gián điệp bao gồm: Ghi lại thao tác gõ phím (Keylog); Chụp ảnh màn hình, nghe lén và quay lén, điều khiển malware từ xa qua SMS, lấy cắp dữ liệu tin nhắn từ các ứng dụng phổ biến (như WhatsApp, Skype, Facebook, Twitter, Viber và Kakao), lấy cắp lịch sử duyệt web, lấy trộm email từ ứng dụng email tích hợp trên Android, lấy trộm danh bạ và tin nhắn (SMS)

Khả năng tự huỷ

Pegasus trên Android cũng có khả năng tự phá huỷ khi nhận thấy nguy cơ bị phát hiện. Cơ chế tự huỷ có thể được kích hoạt theo nhiều cách như: tự huỷ nếu mã vùng quốc gia liên kết với thẻ SIM không hợp lệ.

Phiên bản Pegasus trên iOS kiểm soát các thiết bị mục tiêu bằng cách khai thác 3 lỗ hổng nghiêm trọng mà Apple cũng như các chuyên gia an toàn không biết đến. Thiết bị chạy iOS sẽ bị lây nhiễm khi người dùng truy cập vào một trang web đã bị tin tặc cài bẫy. (Apple đã vá các lỗ hổng mà Citizen Lab và Lookout công bố phát hiện của họ). Trong trường hợp không bẻ khoá thành công thiết bị mục tiêu, Pegasus sẽ ngừng cố gắng lây nhiễm lên chiếc iPhone đó.

Ngược lại, Pegasus trên Android không phụ thuộc vào các lỗ hổng zero-day để root thiết bị mục tiêu nhằm lây nhiễm. Thay vào đó, nó sử dụng một kỹ thuật root nổi tiếng có tên Framaroot nhằm ghi đè lên các công cụ an ninh tích hợp trong Android. Trong trường hợp root không thành công, ứng dụng gián điệp này sẽ tìm cách để nạn nhân cấp cho nó các quyền giúp lấy cắp dữ liệu. Do vậy, việc triển khai Pegasus trên Android dễ dàng hơn so với iOS và có cơ hội lây nhiễm cao hơn khi tin tặc có thể thử các cách khác nếu lần áp dụng đầu tiên không thành công.

Tính năng Verify Apps của Android xác định rằng Israel là quốc gia có nhiều smartphone nhất mà malware này nhằm vào, tiếp sau đó là Georgia, Mexico, Thổ Nhĩ Kỳ, Kenya, Kyrgyzstan, Nigeria, Tanzania, Các Tiểu vương quốc Arab thống nhất, Ukraine, và Uzbekistan.

Cả Lookout và Google đều nhận định rằng, Pegasus trên Android là do công ty NSO Group của Israel tạo ra. Công ty này chuyên đi tìm các lỗ hổng an toàn rồi bán với giá cao và công ty này cũng được cho là đứng đằng sau mã độc Pegasus phiên bản trên iOS. Dạng phần mềm được gọi với cái tên 'phần mềm đánh chặn hợp pháp' này sẽ được NSO bán cho các cơ quan thực thi pháp luật để họ điều tra và truy tìm tội phạm.

Có thể thấy, Pegasus nhằm tới những đối tượng khá đặc biệt chứ không nhằm vào người dùng thông thường.