Anche su Android il malware più temibile della storia
Pegasus esiste anche nella versione per Android. Il temibile malware, creato dalla società israeliana Nso Group a fini di spionaggio e scoperto l’anno scorso sui dispositivi iOs, ha un fratello gemello in grado di infettare anche i terminali del robottino verde. La notizia arriva da diverse fonti, grazie al lavoro in team portato avanti dalla divisione di sicurezza interna a Google (che ha chiamato il malwate Chrysaor) e da Lookout, un’altra società specializzata in cybersecurity. Definito come uno dei più sofisticati e mirati attacchi su mobile mai visto, Pegasus può effettuare il jailbreak degli smartphone per avviare un intenso monitoraggio delle attività delle vittime. In passato è stato utilizzato per spiare, ad esempio, l’attivista emiratino Ahmed Mansoor, ora in carcere ad Abu Dhabi, il cui iPhone era stato infettato dal malware.
Nso Group è una società israeliana le cui quote appartengono però al fondo americano Francisco Partners, che secondo Forbes avrebbe in portafoglio altre software house accusate nel 2016 di spiare gli attivisti turchi che si oppongono alla presidenza di Recep Tayyip Erdoğan. Lookout, partendo dalle ricerche effettuate su iOs, è arrivata a scoprire come Pegasus fosse in esecuzione su cellulari Android in diversi Paesi, tra cui Israele, Georgia, Messico, Turchia ed Emirati Arabi Uniti.
Gli esemplari individuati risalirebbero al 2014 e a essere colpiti sarebbero poche decine di dispositivi, ma la portata dei danni che il programma maligno è in grado di fare è enorme. Pegasus include infatti funzionalità di keylogging, di registrazione degli screenshot e dell’audio ambientale in tempo reale, può essere controllato da remoto via Sms, può recuperare messaggi da popolari applicazioni come Whatsapp, Facebook, Twitter, Skype e via discorrendo.
Inoltre, è capace di spiare nella cronologia dei browser, di copiare e inviare all’esterno la corrispondenza di posta elettronica anche dal client nativo di Android e, cosa forse più strabiliante, può autodistruggersi senza lasciare tracce se “percepisce” di essere a rischio. L’eliminazione scatta in automatico, per esempio, se Pegasus non riesce a fare il check in sui server entro sessanta giorni dall’infezione oppure se arriva il comando da remoto.
A differenza però del gemello per iOs, che per installarsi sfruttava tre vulnerabilità di tipo zero-day (bug risolti da Apple nel 2016 con la versione 9.3.5 del sistema operativo), la versione per Android utilizza una tecnica di rooting nota negli ambienti informatici come Framaroot: è un’applicazione rintracciabile anche sul Web che permette di “aprire” lo smartphone e di ottenere controlli privilegiati.
Nel caso in cui il primo exploit non funzioni (solitamente il tentativo di installazione del malware parte da un Sms contenente un link per scaricare un’app creata ad hoc), Pegasus può comunque ottenere i permessi per leggere i dati presenti sul cellulare e per passarli a un server command and control. Ma se, grazie a Framaroot, il malware acquisisce i privilegi più alti può tranquillamente dispiegare tutto l’arsenale elencato sopra.
Lookout riferisce di aver provato a contattare Nso Group, ma senza successo. Secondo la società che ha scoperto il programma maligno, nei prossimi mesi verranno a galla altre novità inquietanti, in quanto la versione di Pegasus per Android è solo uno dei componenti su cui l’azienda israeliana è in grado di contare.
Google afferma che nessuna applicazione contenente il malware sia mai circolata sul Play Store. Il consiglio di Big G è sempre quello di non affidarsi mai a fonti esterne per scaricare software, ma di utilizzare soltanto i canali ufficiali. Inoltre, è sempre bene attivare una schermata di blocco sul dispositivo, mantenerlo aggiornato e verificare che la funzionalità Verify Apps sia abilitata. (fonte)
