Staatstrojaner Pegasus zielt auf Android

Pegasus für Android ist eine Software, die in mehreren Ländern gezielt für die Überwachung eingesetzt wird. Lookout und Google veröffentlichen Einzelheiten zu dem Trojaner. Laut Lookout sei Pegasus mit einer Variante für das iPhone vergleichbar, über die es möglich war, iPhones durch gezielte Angriffe zu übernehmen. Google hingegen bezeichnet die Überwachungs-Software als Chrysaor. Chrysaor ist der Bruder des Pegasus.

Wie die iOS-Schadsoftware wurde auch Pegasus für Android zuerst von Lookout entdeckt. Die Sicherheitsfirma geht davon aus, dass das Spionage-Tool auf das israelische Start-up-Unternehmen NSO Group zu, das 2010 gegründet und 2014 von einer Investmentfirma in den USA übernommen wurde. Der “Cyberwaffenhändler” NSO verfüge über “ausgefeilte Spyware-Fähigkeiten über eine Anzahl von Betriebssystemen hinweg, die aktiv zur gezielten Ausspähung von Personen eingesetzt werden”. NSO selbst gibt an, die Software ausschließlich an Regierungen zu verkaufen und nichts von den gemeldeten Pegasus-Angriffen auf Menschenrechtler und Journalisten zu wissen.

Die Android-Version von Pegasus wurde auf Smartphones in Israel, Georgien, Mexiko, Türkei, Kenia, Kirgisistan, Nigeria, Tansania, den Vereinigten Arabischen Emiraten, Ukraine und Usbekistan beobachtet.

Sie führt ähnliche Spyware-Aktivitäten wie Pegasus für iOS aus. Dazu zählen Keylogging, die Aufzeichnung von Screenshots und Tonaufnahmen sowie die Fernsteuerung der Malware über SMS. Mitgeschnitten werden die Kommunikationsdaten von verbreiteten Anwendungen wie WhatsApp, Skype, Facebook, Twitter und Viber. Pegasus greift weiterhin den Browserverlauf, die Mails in Androids nativem E-Mail-Client, Kontakte und Textnachrichten ab.

Als wesentlicher Unterschied zur iOS-Spyware Pegasus stellte sich heraus, dass die Android-Version keine Zero-Day-Lücken benötigt, um an Rootrechte zu gelangen. Sie setzt stattdessen eine schon länger bekannte Rooting-Technik namens Framaroot ein. Sollte das nicht erfolgreich sein, fragt sie einfach nach erhöhten Berechtigungen, um dennoch ausspähen zu können.

Die Infektion mit Pegasus scheint bei Android wie bei iOS mit gezielten Phishing-Angriffen zu erfolgen. Das können beispielsweise Textnachrichten mit Links sein, die einem Regimekritiker Enthüllungen über Menschen versprechen, die in den Gefängnissen des Landes gefoltert werden. Google legt Wert auf die Feststellung, dass die Malware nicht über seinen Play Store verbreitet wurde und bislang nur auf einigen Dutzend Geräten gesichtet wurde. Allerdings kann sich die Spyware auch selbst löschen, um eine Entdeckung zu vermeiden.

Schon im Herbst letzten Jahres machte die New York Times darauf aufmerksam, dass es auch eine Android-Version des Staatstrojaners geben muss. Sie nannte Zahlen aus einer Preisliste der NSO Group, die Regierungsbehörden ihre Spähsoftware nach der Zahl zu überwachender Personen berechnet. Die Staffelung beginnt mit einer Pauschale von 650.000 Dollar für die Überwachung von jeweils zehn iPhone- oder Android-Nutzern. Für die Ausspähung von weiteren 100 Personen will NSO demnach zusätzlich 800.000 Dollar – und dazu kommen noch Einrichtungs- und Wartungsgebühren.

[mit Material von Bernd Kling, ZDNet.de]