Pegasus: Mächtiger Staatstrojaner für Android aufgedeckt

4. April 2017, 12:48
63 Postings

Ermöglicht umfassende Überwachung von Zielpersonen – Pendant zu vor einigen Monaten entdecktem iPhone-Trojaner

Das Zahlenmaterial ist recht eindeutig: Trotz der mehr als mangelhaften Update-Politik vieler Smartphone-Hersteller ist die Verbreitung von Malware im Android-Umfeld bisher recht gering. Und doch gibt es zumindest einen Bereich, in dem das Offenlassen von Sicherheitslücken eine akute Bedrohung darstellt: für gezielte Attacken auf einzelne Personen.

In parallel veröffentlichten Blogeinträgen gehen sowohl Google als auch der Sicherheitsdienstleister Lookout nun auf eine solche Gefährdung ein. Unter dem Namen Pegasus (bzw. bei Google: Chrysaor) haben sie die bisher wohl mächtigste Spionagesoftware für Android entdeckt.

Umfassende Möglichkeiten

Der Trojaner kann unter anderem alle Tastatureingaben mitschneiden, nimmt laufend Screenshots auf und ermöglicht das Mitschneiden von Audio und Video, etwa um in der Umgebung getätigte Gespräche zu belauschen. Zudem kann Pegasus Einblick in die Kommunikation bei beliebten Apps wie Whatsapp, Facebook, Twitter oder auch Skype nehmen und den Browserverlauf auslesen. Die auf dem Gerät befindlichen Kontakte werden ebenfalls abgegriffen.

Selbstzerstörung

Interessant ist auch, wie Pegasus gesteuert wird. So ist es etwa möglich, Kommandos via SMS zu senden und nicht nur über das Netz. Außerdem hat die Malware eine Selbstzerstörungsfunktion für den Fall, dass sie entdeckt wird. Diese greift etwa, wenn 60 Tage kein Kontakt zum Control-Server aufgenommen werden kann oder wenn eine bestimmte Datei am lokalen Speicher zu finden ist – wohl eine Art Schutzmechanismus für Eingeweihte. Und natürlich kann die Schadsoftware auch aus der Ferne gezielt entfernt werden.

Verwandschaftsverhältnisse

Bei Pegasus handelt es sich um das Pendant zu einem iOS-Trojaner, der vergangenen Sommer aufgedeckt wurde und der für seine Angriffe bis zu diesem Zeitpunkt unbekannte Lücken in Apples Betriebssystem genutzt hatte. Die Android-Ausführung scheint, zumindest was den Angriffsweg anbelangt, weniger ausgeklügelt zu sein. So nutzt sie etwa eine seit langem bekannte, alte Rooting-Methode namens Framaroot, um sich auf dem Gerät zu verankern. Die nun aufgedeckte Malware konzentriert sich dabei auch auf eine recht alte Android-Version, nämlich Android 4.3, das aktuell nur mehr auf 1,5 Prozent aller Geräte mit Googles Betriebssystem zu finden ist.

grafik: lookout

Möglich ist natürlich, dass noch andere Ausführungen kursieren, die bisher noch nicht aufgedeckt wurden. Zudem versucht Pegasus auch dann Daten zu sammeln und weiterzuleiten, wenn das Rooten fehlschlägt. Dabei fragt man einfach die Nutzer, ob sie die nötigen Berechtigungen erteilen.

Urheberschaft

Hinter der Software soll die israelische NSO Group stecken, die sich auf solche Spionagesoftware spezialisiert hat und sie an Staaten für gezielte Angriffe verkauft. Laut Google lassen sich bisher weniger als drei Dutzend Infektionen mit Pegasus nachweisen, der Großteil davon in Israel selbst, gefolgt von Georgien, Mexiko und der Türkei. Google betont außerdem, dass keine der Infektionen über den Play Store erfolgt ist. Die Opfer wurden also offenbar durch Tricks dazu gebracht, die Schadsoftware selbst auf ihrem Smartphone zu installieren.

Preisfrage

Dass es eine Android-Variante von Pegasus geben muss, war schon seit einigen Monaten klar. Ist doch im Herbst eine Preisliste der NSO Group aufgetaucht, in der diese angeführt wird. Daraus ist auch ersichtlich, wie viel sich Staaten solch gezielte Attacken kosten lassen. Für die Einrichtung und den Support von Pegasus verlangt der Hersteller pro zehn Lizenzen stolze 1,2 Millionen US-Dollar.

Pegasus war in den vergangenen Jahren unter anderem gegen Menschenrechtsaktivisten und Oppositionspolitiker eingesetzt worden. So ist etwa ein Fall aus den Vereinigten Arabischen Emiraten dokumentiert, in dem ein Dissident so ins Visier genommen wurde. (Andreas Proschofsky, 4.4.2017)

  • Die Infektion mit einem Trojaner verändert Android grundlegend.
    foto: andreas proschofsky / standard

    Die Infektion mit einem Trojaner verändert Android grundlegend.

Share if you care.