Специалисты Google и Lookout сообщили, что им удалось обнаружить семейство вредоносов Chrysaor, которое является аналогом коммерческой спайвари Pegasus для iOS.
Напомню, что о существовании Pegasus стало известно в конце лета 2016 года, когда неизвестные попытались атаковать известного активиста и борца за права человека Ахмеда Мансура (Ahmed Mansoor). Тогда исследователи, к которым обратился Мансур, установили, что малварь использует цепочку сразу из трех 0-day уязвимостей в iOS, получившую название Trident («Трезубец»), и компрометирует iOS полностью, по сути, осуществляя удаленный джейлбрейк устройства. Эксперты, изучавшие Pegasus, признавались, что это один из сложнейших вредоносов из всех, что им доводилось видеть.
Исследователи смогли выяснить, что за созданием Pegasus стоит израильская фирма NSO Group, которую вице-президент компании Lookout охарактеризовал «торговцев кибероружием». NSO Group была основана в 2010 году и с тех пор занимается разработкой легальной малвари. Равно как и небезызвестная HackingTeam, NSO Group продает свои решения правительствам и спецслужбам по всему миру, хотя использование такой малвари пока не было задокументировано никем и нигде.
Теперь специалисты Lookout, исходно изучавшие Pegasus, совместно с инженерами Google, обнаружили шпионское решение Chrysaor, авторство которого так же приписывают NSO Group. Исследователи пишут, что при помощи Verify Apps удалось установить, что Chrysaor никогда не попадал в Google Play и использовался для направленных атак на небольшое количество Android-устройств (всего около трех десятков). В результате его деятельности пострадали пользователи из следующих стран:
Специалисты Google постарались связаться со всеми пострадавшими и отключить малварь через Verify Apps.
Равно как и iOS-версия спайвари Chrysaor оснащается самыми разными функциями, среди которых числятся:
- кейлоггер;
- возможность делать снимки экрана;
- перехват аудио и видео в режиме реального времени;
- удаленный контроль посредством SMS-сообщений;
- перехват и передача злоумышленникам данных из популярных приложений, в том числе WhatsApp, Skype, Facebook, Gmail, Twitter, Viber, Kakao;
- похищение истории браузера;
- похищение данных из email-клиента Android;
- похищение информации о контактах и текстовых сообщениях;
- самоуничтожение, чтобы избежать обнаружения.
Исследователи Lookout уже представили детальный технический отчет о Chrysaor (PDF). Они пишут, что в отличие от Pegasus этому вредоносу нет нужды комбинировать 0-day уязвимости и применять методики, подобные «Трезубцу». Вместо этого Chrysaor полагается на технику известную под названием Framaroot, чтобы удаленно получить root-доступ к устройству и перехватить контроль над ОС. Впрочем, специалисты все же опасаются, что в арсенале NSO group могут быть и 0-day баги. По данным экспертов, некоторые образцы малвари датированы 2014 годом, так что Chrysaor был создан отнюдь не недавно.