Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Biến thể phần mềm gián điệp Pegasus xuất hiện trên Android
(ICTnews) 8 tháng sau khi bị phát hiện trên iOS, ứng dụng gián điệp tinh vi Pegasus đã xuất hiện trên hệ điều hành Android của Google - theo phát hiện của các chuyên gia đến từ Lookout và từ chính Google.
Các chuyên gia an ninh mạng mới đây phát hiện một trong những ứng dụng gián điệp tinh vi nhất từ trước tới nay. Ứng dụng này được viết để chạy trên hệ điều hành Android của Google, và được phát hiện sau khi lây nhiễm thành công trên một số thiết bị.
Có tên gọi Pegasus, phần mềm gián điệp trên Android chính là một biến thể của Pegasus cho iOS, một nền tảng gián điệp được phát hiện hồi tháng 8 năm ngoái trên chiếc iPhone của một nhà hoạt động nhân quyền Ả-rập. Các chuyên gia Google và Lookout đã phát hiện ra sự tồn tại của Pegasus trên Android những tháng sau đó, khi họ "lùng sục" trên Internet. Google cho biết, một tính năng an ninh của Android có tên Verify Apps phát hiện ra phiên bản Pegasus mới này đã được cài đặt trên một số thiết bị Andoid.
"Pegasus cho Android là một ví dụ về các công cụ gián điệp 'full' tính năng có nguồn gốc từ các nhóm nhà nước độc lập hoặc các nhóm tương tự. Những nhóm này liên tục tạo ra các mối đe doạ với thiết bị di động với mục tiêu theo dõi một đối tượng không chỉ ở thế giới thực mà còn cả trong thế giới ảo".
Giống phiên bản trên iOS, Pegasus trên Android có hàng loạt chức năng gián điệp bao gồm:
- Keylog (ghi lại thao tác gõ phím)
- Chụp ảnh màn hình
- Nghe lén và quay lén
- Điều khiển malware từ xa qua SMS
- Ăn cắp dữ liệu tin nhắn từ các ứng dụng phổ biến như WhatsApp, Skype, Facebook, Twitter, Viber, và Kakao.
- Ăn cắp lịch sử duyệt web
- Lấy trộm email từ ứng dụng email tích hợp trên Android
- Lấy trộm danh bạ và tin nhắn (SMS)
Khả năng tự huỷ
Pegasus trên Android cũng có khả năng tự phá huỷ khi nhận thấy nguy cơ bị phát hiện. Cơ chế tự huỷ có thể được kích hoạt theo nhiều cách: tự huỷ nếu mã vùng quốc gia liên kết với thẻ SIM không hợp lệ; nếu một file 'giải độc' nào đó được đưa vào thư mục /sdcard/MemosForNotes, nếu ứng dụng không thể kết nối với các máy chủ mà hacker điều khiển trong 60 ngày, hay nếu ứng dụng nhận được một lệnh từ máy chủ để tự 'kết liễu' số phận của nó.
"Rõ ràng malware này được thiết kế để hoạt động lén lút và nó rất tinh vi" - các chuyên gia cho biết.
Phiên bản Pegasus trên iOS kiểm soát các thiết bị mục tiêu bằng cách khai thác 3 lỗ hổng nghiêm trọng mà Apple cũng như hầu hết các chuyên gia an ninh không biết đến. Thiết bị chạy iOS sẽ bị lây nhiễm khi người dùng truy cập vào một website đã bị hacker cài bẫy. (Apple đã vá các lỗ hổng trong cùng ngày mà Citizen Lab và Lookout công bố phát hiện của họ). Trong trường hợp không bẻ khoá thành công thiết bị mục tiêu, Pegasus sẽ ngừng cố gắng lây nhiễm lên chiếc iPhone đó.
Ngược lại, Pegasus trên Android không phụ thuộc vào các lỗ hổng zero-day để root thiết bị mục tiêu nhằm lây nhiễm. Thay vào đó, nó sử dụng một kỹ thuật root nổi tiếng có tên Framaroot nhằm ghi đè lên các công cụ an ninh tích hợp trong Android. Trong trường hợp root không thành công, ứng dụng gián điệp này sẽ tìm cách để nạn nhân cấp cho nó các quyền giúp nó ăn cắp dữ liệu. Do vậy, việc triển khai Pegasus trên Android dễ dàng hơn so với iOS và có cơ hội lây nhiễm cao hơn khi hacker có thể thử cách khác nếu lần áp dụng đầu tiên không thành công.
Ứng dụng này chưa bao giờ có mặt trên Google Play, theo công bố của Google trên blog vào ngày hôm qua. Tính năng Verify Apps của Android xác định rằng Israel là quốc gia có nhiều smartphone nhất mà malware này nhắm đến, tiếp sau đó là Georgia, Mexico, Thổ Nhĩ Kỳ, Kenya, Kyrgyzstan, Nigeria, Tanzania, Các Tiểu vương quốc Arab thống nhất, Ukraine, và Uzbekistan.
Cả Lookout và Google đều nhận định rằng, Pegasus trên Android là do công ty NSO Group đến từ Israel tạo ra. Công ty này chuyên đi tìm các lỗ hổng an ninh rồi bán với giá cao, và nhóm này được cho cũng là những kẻ đứng đằng sau malware Pegasus phiên bản trên iOS. Dạng phần mềm được gọi với cái tên 'phần mềm đánh chặn hợp pháp' này sẽ được NSO bán cho các cơ quan thực thi pháp luật để họ điều tra và truy tìm tội phạm.
Có thể thấy, Pegasus nhắm tới những đối tượng khá đặc biệt chứ không nhằm vào người dùng thông thường.
Các chuyên gia an ninh mạng mới đây phát hiện một trong những ứng dụng gián điệp tinh vi nhất từ trước tới nay. Ứng dụng này được viết để chạy trên hệ điều hành Android của Google, và được phát hiện sau khi lây nhiễm thành công trên một số thiết bị.
Có tên gọi Pegasus, phần mềm gián điệp trên Android chính là một biến thể của Pegasus cho iOS, một nền tảng gián điệp được phát hiện hồi tháng 8 năm ngoái trên chiếc iPhone của một nhà hoạt động nhân quyền Ả-rập. Các chuyên gia Google và Lookout đã phát hiện ra sự tồn tại của Pegasus trên Android những tháng sau đó, khi họ "lùng sục" trên Internet. Google cho biết, một tính năng an ninh của Android có tên Verify Apps phát hiện ra phiên bản Pegasus mới này đã được cài đặt trên một số thiết bị Andoid.
"Pegasus cho Android là một ví dụ về các công cụ gián điệp 'full' tính năng có nguồn gốc từ các nhóm nhà nước độc lập hoặc các nhóm tương tự. Những nhóm này liên tục tạo ra các mối đe doạ với thiết bị di động với mục tiêu theo dõi một đối tượng không chỉ ở thế giới thực mà còn cả trong thế giới ảo".
Giống phiên bản trên iOS, Pegasus trên Android có hàng loạt chức năng gián điệp bao gồm:
- Keylog (ghi lại thao tác gõ phím)
- Chụp ảnh màn hình
- Nghe lén và quay lén
- Điều khiển malware từ xa qua SMS
- Ăn cắp dữ liệu tin nhắn từ các ứng dụng phổ biến như WhatsApp, Skype, Facebook, Twitter, Viber, và Kakao.
- Ăn cắp lịch sử duyệt web
- Lấy trộm email từ ứng dụng email tích hợp trên Android
- Lấy trộm danh bạ và tin nhắn (SMS)
Khả năng tự huỷ
Pegasus trên Android cũng có khả năng tự phá huỷ khi nhận thấy nguy cơ bị phát hiện. Cơ chế tự huỷ có thể được kích hoạt theo nhiều cách: tự huỷ nếu mã vùng quốc gia liên kết với thẻ SIM không hợp lệ; nếu một file 'giải độc' nào đó được đưa vào thư mục /sdcard/MemosForNotes, nếu ứng dụng không thể kết nối với các máy chủ mà hacker điều khiển trong 60 ngày, hay nếu ứng dụng nhận được một lệnh từ máy chủ để tự 'kết liễu' số phận của nó.
"Rõ ràng malware này được thiết kế để hoạt động lén lút và nó rất tinh vi" - các chuyên gia cho biết.
Phiên bản Pegasus trên iOS kiểm soát các thiết bị mục tiêu bằng cách khai thác 3 lỗ hổng nghiêm trọng mà Apple cũng như hầu hết các chuyên gia an ninh không biết đến. Thiết bị chạy iOS sẽ bị lây nhiễm khi người dùng truy cập vào một website đã bị hacker cài bẫy. (Apple đã vá các lỗ hổng trong cùng ngày mà Citizen Lab và Lookout công bố phát hiện của họ). Trong trường hợp không bẻ khoá thành công thiết bị mục tiêu, Pegasus sẽ ngừng cố gắng lây nhiễm lên chiếc iPhone đó.
Ngược lại, Pegasus trên Android không phụ thuộc vào các lỗ hổng zero-day để root thiết bị mục tiêu nhằm lây nhiễm. Thay vào đó, nó sử dụng một kỹ thuật root nổi tiếng có tên Framaroot nhằm ghi đè lên các công cụ an ninh tích hợp trong Android. Trong trường hợp root không thành công, ứng dụng gián điệp này sẽ tìm cách để nạn nhân cấp cho nó các quyền giúp nó ăn cắp dữ liệu. Do vậy, việc triển khai Pegasus trên Android dễ dàng hơn so với iOS và có cơ hội lây nhiễm cao hơn khi hacker có thể thử cách khác nếu lần áp dụng đầu tiên không thành công.
Ứng dụng này chưa bao giờ có mặt trên Google Play, theo công bố của Google trên blog vào ngày hôm qua. Tính năng Verify Apps của Android xác định rằng Israel là quốc gia có nhiều smartphone nhất mà malware này nhắm đến, tiếp sau đó là Georgia, Mexico, Thổ Nhĩ Kỳ, Kenya, Kyrgyzstan, Nigeria, Tanzania, Các Tiểu vương quốc Arab thống nhất, Ukraine, và Uzbekistan.
Cả Lookout và Google đều nhận định rằng, Pegasus trên Android là do công ty NSO Group đến từ Israel tạo ra. Công ty này chuyên đi tìm các lỗ hổng an ninh rồi bán với giá cao, và nhóm này được cho cũng là những kẻ đứng đằng sau malware Pegasus phiên bản trên iOS. Dạng phần mềm được gọi với cái tên 'phần mềm đánh chặn hợp pháp' này sẽ được NSO bán cho các cơ quan thực thi pháp luật để họ điều tra và truy tìm tội phạm.
Có thể thấy, Pegasus nhắm tới những đối tượng khá đặc biệt chứ không nhằm vào người dùng thông thường.
Theo ICTnews