| Experten 3. April 2017


3. April 2017

Pegasus für Android: Die andere Seite der Bedrohung nimmt Gestalt an

By Mike Murray

Lookout und Google veröffentlichen heute ihre Analyseergebnisse zur Android-Version einer der raffiniertesten und gezieltesten Angriffe auf Mobilgeräte, die je entdeckt wurden: Pegasus
Lesen Sie hierdie komplette technische Analyse
Die Pegasus-Malware wurde von einem „Cyber-Waffenhändler“ namens NSO Group entwickelt. Sie verschafft sich durch Jailbreaking oder Rooting Zugriff auf mobile Geräte, um Personen gezielt zu überwachen. Nachdem Citizen Lab im letzten Sommer von einem politischen Dissidenten in den Vereinigten Arabischen Emiraten einen entsprechenden Hinweis erhalten hatte, beauftragte das Unternehmen Lookout mit der weiteren Analyse von Pegasus. Im August 2016 gab Lookout zusammen mit Citizen Lab Einzelheiten zur Entdeckung der iOS-Version dieser Bedrohung bekannt. Wir hatten eine ernste Spyware-Bedrohung für Mobilgeräte entdeckt, die laut New York Times seither mehrfach für Cyberangriffe auf mexikanische Aktivisten eingesetzt wurde.
Google nennt diese Bedrohung „Chrysaor“, in der griechischen Mythologie der Bruder des Pegasus. Wir bezeichnen sie der Einfachheit halber als „Pegasus für Android“. Egal, welchen Namen man ihr gibt – die Bedrohung ist offensichtlich: Die NSO Group verfügt über ausgefeilte, betriebssystemübergreifende Spyware-Funktionen für Mobilgeräte, die aktiv für Angriffe auf Einzelpersonen genutzt werden.
Unternehmens- und Privatkunden von Lookout sind vor dieser Bedrohung geschützt.
Aufspüren der Bedrohung
Im Rahmen der Analyse der iOS-Bedrohung durchsuchten die Experten von Lookout unsere umfassende Datenbank  und fanden Indizien für ein abweichendes Verhalten bei Android-Anwendungen. Wir verfügen zu jedem Zeitpunkt über  komplexe und aufschlussreiche Einblicke in das mobile Umfeld. Ohne die Lookout Security Cloud wäre Pegasus für Android womöglich gar nicht entdeckt worden.
Nach einer eingehenden Analyse dieser Indizien stellten wir fest, dass eine Android-Version von Pegasus auf Smartphones in Israel, Georgien, Mexiko, der Türkei, den Vereinigten Arabischen Emiraten und weiteren Ländern im Einsatz war.
Funktionsweise
Die Android-Version verfügt über vergleichbare Spionagefunktionen wie Pegasus für iOS, u. a.:
  • Keylogging
  • Erfassung von Screenshots
  • Erfassung der Live-Audiokommunikation
  • Remote-Steuerung der Malware per SMS
  • Ausfiltern von Messaging-Daten aus gängigen Anwendungen wie WhatsApp, Skype, Facebook, Twitter, Viber, Kakao
  • Ausfiltern des Browserverlaufs
  • Ausfiltern von E-Mails aus dem nativen Android-E-Mail-Client
  • Zugriff auf Kontaktdaten und Textnachrichten
Die Malware vernichtet sich selbst, sobald ihre Enttarnung droht. Pegasus für Android entfernt sich selbst von Smartphones, wenn:
  • die MCC-ID der SIM-Karte ungültig ist
  • eine „Antidote“-Datei vorhanden ist
  • sie innerhalb von 60 Tagen keine Verbindung zu den Servern herstellen kann
  • sie einen „Selbstzerstörungsbefehl“ vom Server erhält
Diese besonders hoch entwickelte Malware wurde offensichtlich für heimliche, gezielte Angriffe geschaffen.
Unterschiede zur iOS-Version
Der größte Unterschied zwischen der iOS- und der Android-Version der Pegasus-Malware besteht darin, dass die Android-Version keine Zero-Day-Schwachstellen für einen Root-Zugriff auf das Gerät verwendet.
Bei der Analyse der iOS-Version entdeckte Lookout drei Schwachstellen, die Pegasus für das Jailbreaking und die anschließende Installation und Ausführung der Schadsoftware auf dem Zielgerät ausnutzt. Wir bezeichnen dieses Sicherheitsleck als „Trident“.”
Pegasus für Android benötigt keine Zero-Day-Schwachstellen, um das Zielgerät zu rooten und die Malware zu installieren. Die Bedrohung macht stattdessen von einer anderen, bekannten Rooting-Methode namens „Framaroot“ Gebrauch. Scheiterte das Jailbreaking bei der Pegasus-Version für iOS während des Zero-Day-Angriffs, schlug die gesamte Angriffssequenz fehl. In die Android-Version haben die Angreifer allerdings eine Funktionalität integriert, mit der Pegasus für Android dennoch Berechtigungen anfordern kann, die der Malware Zugriff auf das Gerät und das Ausfiltern von Daten gestatten. Diese Failsafe-Funktion wird aktiviert, wenn der ursprüngliche Versuch, das Gerät zu rooten, fehlschlägt.
Das bedeutet, dass sich Pegasus für Android einfacher auf Mobilgeräten ausbreiten und frei bewegen kann, falls der erste Angriff auf das Gerät ohne Erfolg bleibt.
Benachrichtigung der Geschädigten
Lookout informierte Google über die Entdeckung der Malware und untersuchte gemeinsam mit dem Google-Sicherheitsteam das Ausmaß der Bedrohung. Inzwischen hat Google die potenziellen Geschädigten benachrichtigt und Informationen zur Beseitigung der Bedrohung bereitgestellt.
Wer glaubt, von Pegasus für Android oder iOS betroffen zu sein, sollte sich  unter threatintel@lookout.com an Lookout wenden.
Unsere komplette technische Analyse finden Sie in dem Bericht „Pegasus for Android: Technical Analysis and Findings of Chrysaor.“ Falls Sie sich ausführlich darüber informieren möchten, wie wir Pegasus für Android entdeckt haben und wie ein Angriff dieser Malware abläuft, lesen Sie hier den vollständigen Bericht. Sie können auch hier unser Webinar ansehen.

Autor

Mike Murray,
Vice President, Research & Response

Kommentar hinterlassen

Absenden


0 kommentare