×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Geavanceerde iPhone-malware Pegasus blijkt Android-versie te hebben

Door , 41 reacties

Beveiligingsbedrijf Lookout heeft in samenwerking met Google een Android-variant gevonden van de Pegasus-malware, die vorig jaar op iPhones werd ontdekt. De variant, met de naam Chrysaor, werd gebruikt bij gerichte aanvallen op een klein aantal Android-toestellen.

Google en Lookout hebben beide een blogpost aan de malware gewijd; het beveiligingsbedrijf publiceerde daarnaast een technische analyse. Net als de Pegasus-variant, die in augustus werd ontdekt, lijkt Chrysaor afkomstig te zijn van de Israëlische NSO Group. Dit exemplaar kwam aan het licht doordat Lookout een aantal verdachte packages deelde met Google, dat aan de hand van de Verify Apps-functie de omvang van de malwareverspreiding kon vaststellen. De malware zou niet in de Play Store aanwezig zijn geweest en kwam voor op ongeveer 35 Android-apparaten.

Die apparaten waren vooral aanwezig in Israël, Georgië, Mexico en Turkije. Ook Kenia komt voor op de lijst. Pegasus richtte zich onder andere op Mexicaanse en Keniaanse doelwitten, waaronder een journalist. Google heeft de eigenaren van de getroffen apparaten op de hoogte gesteld. Volgens de zoekgigant werd de malware verspreid door gebruikers over te halen software op hun apparaat te installeren, mogelijk via phishing. In tegenstelling tot Pegasus gebruikt Chrysaor geen zero days, maar past het de bekende Framaroot-methode toe om roottoegang tot een apparaat te verkrijgen. Als de poging om root te verkrijgen mislukte, dan vroeg de malware alsnog om de nodige permissies. Volgens Google richtte een representatieve sample zich op Android 4.3.

Eenmaal op een systeem aanwezig, is de malware in staat om keylogging uit te voeren, screenshots en audio vast te leggen, chatberichten van onder meer WhatsApp te stelen en browsergeschiedenis, contacten en e-mails naar de aanvaller te sturen. Aansturing van de malware is mogelijk via sms, aldus Lookout. Daarnaast is Chrysaor in staat om zichzelf te vernietigen, bijvoorbeeld als het geen verbinding met een server heeft kunnen maken of als er een zogenaamd antidote-bestand op het systeem aanwezig is. Ook werd de updatefunctie uitgeschakeld als de malware zich op een Samsung-toestel bevond.

Lookout komt op basis van de eigenschappen van de malware, naast de gebruikte encryptie en obfuscation, tot de conclusie dat Chrysaor is gebouwd om detectie te ontwijken en gericht ingezet te worden.

Door Sander van Voorst

Nieuwsredacteur

04-04-2017 • 09:23

41 Linkedin Google+

Reacties (41)

Wijzig sortering
Kleine tekstuele opmerking:

Het is Chrysaor ipv Chrysador; vernoemd naar een personage uit de Griekse mythologie. ;)
En in de Griekse mythologie is Chrysaor soort van de broer van Pegasus (allebei ontstaan uit het bloed van Medusa). Dat verklaart ook de naamkeuze voor deze Android-variant van de Pegasus-malware :) (Wikipedia)
Die IsraŽlische virusmakers zijn kennelijk keurige mensen met een klassieke opleiding :/
Ik neem aan dat de naamgeving door de ontdekker "Lookout" is gedaan. Een Hebreeuwse variant was anders meer op z'n plaats geweest. (of met het NSA 'Marble' tool gewijzigd)
dŻh - er staat niet voor niets een smiley achter
Soms "heiligt" het doel de middelen.
Offtopic: Chrysaor is de Nederlandse naam van hetzelfde personage (overigens ligt deze naam dichter tegen de oud Griekse naam aan dan het Engelse Chrysador).

Ontopic: lijkt me interessant om uit te zoeken waarom per se journalisten in Kenia en Mexico werden getarget. Lijkt me een mooi script voor een thriller. }>
Dank, wist ik niet. Ik zag dat MediQ het inmiddels al gemeld had.
Geen probleem. Via Feedback kan je ook grotere misverstanden aan de kaak stellen.
Normaal ben ik het met je eens dat taal- en spelfouten via deze link gemeld moeten worden maar met een dergelijke onderbouwing heb ik er ook nog wat van kunnen leren. Dit voegt dan stiekem toch wel wat toe aan het bericht (niet heel relevant verder maar wel leuk om te lezen)
Afgezien dat spelfouten soms discutabel zijn en context afhankelijk kan een dergelijke discussie soms ontopic en interessant zijn.
Daarnaast zal jouw opmerking ook weer andere opmerkingen uitlokken en dus in theorie alleen maar meer vervuiling in de discussie teweeg brengen.

Bovenal betreft dit overduidelijk gťťn typefout maar een onjuiste benaming. Een naamsverwisseling is iets totaal anders dan een grammaticale fout.
In mijn ogen is dit wel duidelijk een spel/tik fout. Er is immers alleen 1 d teveel in het spel.

En ja mijn reactie kan meer vervuiling met zich mee brengen. Maar als genoeg mensen het lezen weten ze vanzelf waar ze spel en tik fouten moeten melden. Maar dan staat hem alsnog ook vrij om een eigen topic daar over te maken. Via die zelfde weg te bereiken.
Over het ontstaan van de fout kun je debatteren, ik zelf denk dat de auteur heeft gemeend dat de naam in eerste instantie anders was. Dit is dus geen spelfout maar onjuiste informatieverstrekking!
Verbeterd, dank!
Wat is eigenlijk een goede 'scanner' voor Android toestellen ?

Of is het beter gewoon eens een factory reset te doen :)
Gewoon apps alleen uit de play store halen, verify apps aanzetten. En je gezonde verstand gebruiken.
Upgraden naar de laatste versie van Android is verre weg het beste om veilig te blijven. Oudere toestellen waarvoor geen updates meer uitkomen zijn het meest kwetsbaar.

Dat betekent niet dat je elke 2 jaar een nieuw toestel moet kopen. Dat hangt af van de risico's die je als consument/bedrijf hebt. Voor consumenten zou ik zeggen dat 1 of 2 major releases achterlopen geen probleem is. Een fabrikant kiezen die lang updates uitbrengt kan ik zeker aanraden.
Framaroot is een oude exploit, als je toestel op 4.4 zit is dat nieuw genoeg om dit tegen te houden. En risico of niet, zolang er geen Xposed is voor Android 7 blijf ik op 6 zitten.

[Reactie gewijzigd door Morgan4321 op 4 april 2017 13:43]

Malwarebytes Anti-Malware doet het wel goed. Ik zou eerst kijken of je wel daadwerkelijk een virus hebt voordat je een factory reset doet.

[Reactie gewijzigd door AnonymousWP op 4 april 2017 10:50]

Blijkbaar moeten we ons niet al te veel zorgen maken daar ze op de blog zeggen dat het maar op een paar toestellen is terug gevonden:
Among the over 1.4 billion devices protected by Verify Apps, we observed fewer than 3 dozen installs of Chrysaor on victim devices
Waarschijnlijk gericht gebruikt om specifieke personen in de gaten te houden.
Die moeten dan wel toevallig allemaal een app uit de niet app store gehaald hebben, lijkt me dan meer een actie van FBI/ overhead om toegang te krijgen tot hun data en locatie gegevens... Heel toevallig inieder geval. Maar goed alles is tegenwoordig mogelijk. :)
Er wordt dan natuurlijk ook gericht een actie uitgevoerd om ze die app te laten installeren.
Misschien een fishing mail, zogenaamd van een bekende of vakgenoot die een goede app aanbeveelt voor een typisch vakgerelateerd probleem. De mallware kan dan verstopt zitten bij de app die ze downloaden. Of de gebruikers van de mallware kunnen de app zelf op de telefoon zetten wanneer ze een manier hebben om die fysiek in handen te krijgen.

Mijn eerste gedachte bij een zodanig gerichte verspreiding gaat ook naar overheidsdiensten.
Een gerichte aanval wil nog niet zeggen dat de NSA of de FBI er iets mee te maken heeft.
Criminelen maken daar evengoed gebruik van, al was het maar omdat de efficiŽntie (slaagpercentage) veel groter is.
Niet iedereen wordt natuurlijk zomaar slachtoffer van een targeted attack, daarvoor moet je interessant genoeg bevonden worden. Mensen met veel geld, bedrijfsleiders, maar ook (en niet minder) mensen met cruciale posities binnen bedrijven of organisaties zoals informatici, directiesecretaresses, boekhoudkundigen, raadgevers, ... lopen wel degelijk het gevaar doelwit (slachtoffer) te worden van dergelijke aanvallen.
Een deel van het gevaar schuilt juist in de attitude "hier moet ik me geen zorgen om maken, dit gebeurt alleen bij anderen".
Is dit lek al opgelost in iOS? Misschien handig om dit ook in het artikel te vermelden.
Vanaf iOS 9.3.5 is het lek gedicht.
Dan zijn 95% van de iOS user base als veilig voor deze lek.
Heeft iemand een idee in welke .APK's deze malware zit? Pokemon GoIV meters?

Daarnaast ben ik zeer benieuwd of Android ook op andere manieren keyloggers kan krijgen. Het is een gigantisch grote markt - op meer dan 80% van alle mobieltjes wereldwijd - die voor malware ogenschijnlijk voor het grijpen ligt. Ik kan me goed voorstellen dat de 'Google App Store' redelijk waterdicht is, maar er komt ook een hoop binnen via browsers zoals PDF's, Excel en APK's (applicatie pakketjes),
Deze opmerkingen slaan echt als een lul op een drumstel.
Er bestaat ook nog zoiets als privacy, of mogen ze jou bankrekeningen, persoonlijke berichten e.d inzien?
“Privacy niet belangrijk vinden omdat je niets te verbergen hebt, is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt.”
-Edward Snowden
Oke top, geef dan maar je echte naam, sofinummer, 06-nummer, werk, salaris, pincode. Laat je thuis ook altijd de deur open? Geen gordijnen? You get the point :)
Totdat de keylogger je inloggegevens van je online bankieren onderschept en je bankrekeningen geplunderd wordt (Uiteraard nadat je kredietlimiet tot het uiterste is opgehoogd.)
Mag ik dan je inlogcode en wachtwoord van je bank aub
oke, geef me je creditcard gegevens dan maar!? aangezien het je toch niets uit maakt! ;-) tuurlijk willen we "privacy", iig dat we maar denken dat t allemaal veilig is die data!
Dat dachten de Joden in Duitsland ook voordat Hitler aan de macht kwam :/

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*