Beveiligingsbedrijf Lookout heeft in samenwerking met Google een Android-variant gevonden van de Pegasus-malware, die vorig jaar op iPhones werd ontdekt. De variant, met de naam Chrysador, werd gebruikt bij gerichte aanvallen op een klein aantal Android-toestellen.

Google en Lookout hebben beide een blogpost aan de malware gewijd; het beveiligingsbedrijf publiceerde daarnaast een technische analyse. Net als de Pegasus-variant, die in augustus werd ontdekt, lijkt Chrysador afkomstig te zijn van de Israëlische NSO Group. Dit exemplaar kwam aan het licht doordat Lookout een aantal verdachte packages deelde met Google, dat aan de hand van de Verify Apps-functie de omvang van de malwareverspreiding kon vaststellen. De malware zou niet in de Play Store aanwezig zijn geweest en kwam voor op ongeveer 35 Android-apparaten.

Die apparaten waren vooral aanwezig in Israël, Georgië, Mexico en Turkije. Ook Kenia komt voor op de lijst. Pegasus richtte zich onder andere op Mexicaanse en Keniaanse doelwitten, waaronder een journalist. Google heeft de eigenaren van de getroffen apparaten op de hoogte gesteld. Volgens de zoekgigant werd de malware verspreid door gebruikers over te halen software op hun apparaat te installeren, mogelijk via phishing. In tegenstelling tot Pegasus gebruikt Chrysador geen zero days, maar past het de bekende Framaroot-methode toe om roottoegang tot een apparaat te verkrijgen. Als de poging om root te verkrijgen mislukte, dan vroeg de malware alsnog om de nodige permissies. Volgens Google richtte een representatieve sample zich op Android 4.3.

Eenmaal op een systeem aanwezig, is de malware in staat om keylogging uit te voeren, screenshots en audio vast te leggen, chatberichten van onder meer WhatsApp te stelen en browsergeschiedenis, contacten en e-mails naar de aanvaller te sturen. Aansturing van de malware is mogelijk via sms, aldus Lookout. Daarnaast is Chrysador in staat om zichzelf te vernietigen, bijvoorbeeld als het geen verbinding met een server heeft kunnen maken of als er een zogenaamd antidote-bestand op het systeem aanwezig is. Ook werd de updatefunctie uitgeschakeld als de malware zich op een Samsung-toestel bevond.

Lookout komt op basis van de eigenschappen van de malware, naast de gebruikte encryptie en obfuscation, tot de conclusie dat Chrysador is gebouwd om detectie te ontwijken en gericht ingezet te worden.

Reacties mogelijk gemaakt door CComment