Pegasus: Mächtiger Staatstrojaner für Android aufgedeckt
Pegasus: Mächtiger Staatstrojaner für Android aufgedeckt
Andreas Proschofsky4. April 2017, 12:48
52 Postings
Ermöglicht umfassende Überwachung von Zielpersonen – Pendant zu vor
einigen Monaten entdecktem iPhone-Trojaner
Das Zahlenmaterial ist recht eindeutig: Trotz der mehr als mangelhaften
Update-Politik vieler Smartphone-Hersteller ist die Verbreitung von
Malware im Android-Umfeld bisher recht gering. Und doch gibt es
zumindest einen Bereich, in dem das Offenlassen von Sicherheitslücken
eine akute Bedrohung darstellt: für gezielte Attacken auf einzelne
Personen.
In parallel veröffentlichten Blogeinträgen gehen sowohl Google als auch
der Sicherheitsdienstleister Lookout nun auf eine solche Gefährdung ein.
Unter dem Namen Pegasus (bzw. bei Google: Chrysaor) haben sie die bisher
wohl mächtigste Spionagesoftware für Android entdeckt.
Umfassende Möglichkeiten
Der Trojaner kann unter anderem alle Tastatureingaben mitschneiden,
nimmt laufend Screenshots auf und ermöglicht das Mitschneiden von Audio
und Video, etwa um in der Umgebung getätigte Gespräche zu belauschen.
Zudem kann Pegasus Einblick in die Kommunikation bei beliebten Apps wie
Whatsapp, Facebook, Twitter oder auch Skype nehmen und den
Browserverlauf auslesen. Die auf dem Gerät befindlichen Kontakte werden
ebenfalls abgegriffen.
Selbstzerstörung
Interessant ist auch, wie Pegasus gesteuert wird. So ist es etwa
möglich, Kommandos via SMS zu senden und nicht nur über das Netz.
Außerdem hat die Malware eine Selbstzerstörungsfunktion für den Fall,
dass sie entdeckt wird. Diese greift etwa, wenn 60 Tage kein Kontakt zum
Control-Server aufgenommen werden kann oder wenn eine bestimmte Datei am
lokalen Speicher zu finden ist – wohl eine Art Schutzmechanismus für
Eingeweihte. Und natürlich kann die Schadsoftware auch aus der Ferne
gezielt entfernt werden.
Verwandschaftsverhältnisse
Bei Pegasus handelt es sich um das Pendant zu einem iOS-Trojaner, der
vergangenen Sommer aufgedeckt wurde und der für seine Angriffe bis zu
diesem Zeitpunkt unbekannte Lücken in Apples Betriebssystem genutzt
hatte. Die Android-Ausführung scheint, zumindest was den Angriffsweg
anbelangt, weniger ausgeklügelt zu sein. So nutzt sie etwa eine seit
langem bekannte, alte Rooting-Methode namens Framaroot, um sich auf dem
Gerät zu verankern. Die nun aufgedeckte Malware konzentriert sich dabei
auch auf eine recht alte Android-Version, nämlich Android 4.3, das
aktuell nur mehr auf 1,5 Prozent aller Geräte mit Googles Betriebssystem
zu finden ist.
Image
grafik: lookout
Möglich ist natürlich, dass noch andere Ausführungen kursieren, die
bisher noch nicht aufgedeckt wurden. Zudem versucht Pegasus auch dann
Daten zu sammeln und weiterzuleiten, wenn das Rooten fehlschlägt. Dabei
fragt man einfach die Nutzer, ob sie die nötigen Berechtigungen
erteilen.
Urheberschaft
Hinter der Software soll die israelische NSO Group stecken, die sich auf
solche Spionagesoftware spezialisiert hat und sie an Staaten für
gezielte Angriffe verkauft. Laut Google lassen sich bisher weniger als
drei Dutzend Infektionen mit Pegasus nachweisen, der Großteil davon in
Israel selbst, gefolgt von Georgien, Mexiko und der Türkei. Google
betont außerdem, dass keine der Infektionen über den Play Store erfolgt
ist. Die Opfer wurden also offenbar durch Tricks dazu gebracht, die
Schadsoftware selbst auf ihrem Smartphone zu installieren.
Preisfrage
Dass es eine Android-Variante von Pegasus geben muss, war schon seit
einigen Monaten klar. Ist doch im Herbst eine Preisliste der NSO Group
aufgetaucht, in der diese angeführt wird. Daraus ist auch ersichtlich,
wie viel sich Staaten solch gezielte Attacken kosten lassen. Für die
Einrichtung und den Support von Pegasus verlangt der Hersteller pro zehn
Lizenzen stolze 1,2 Millionen US-Dollar.
Pegasus war in den vergangenen Jahren unter anderem gegen
Menschenrechtsaktivisten und Oppositionspolitiker eingesetzt worden. So
ist etwa ein Fall aus den Vereinigten Arabischen Emiraten dokumentiert,
in dem ein Dissident so ins Visier genommen wurde. (Andreas Proschofsky,
4.4.2017)
Links
Blogeintrag von Lookout
Analyse von Google
Image
foto: andreas proschofsky / standard
Die Infektion mit einem Trojaner verändert Android grundlegend.
http://derstandard.at/2000055362688/Pegasus-Bisher-maechtigster-Staatstrojaner-fuer-Android-aufgedeckt