Pegasus: la aplicación más sofisticada de espionaje de Android jamás creada


Fuente: Ars Technica

El descubrimiento de Pegasus para Android llega 8 meses después de que se encontrara una aplicación similar de iOS.

Los investigadores han descubierto una de las aplicaciones de espionaje más avanzadas jamás escritas para el sistema operativo móvil Android. Encontraron la aplicación luego de haber infectado unas cuantas docenas de teléfonos.

Pegasus para Android es la aplicación homóloga de Pegasus para iOS, una plataforma de espionaje completa que se descubrió en agosto pasado infectando el iPhone de un disidente político ubicado en los Emiratos Árabes Unidos. Los investigadores de Google y la empresa de seguridad móvil Lookout encontraron la versión para Android en los meses siguientes, mientras exploraban Internet. Google dijo que una herramienta de seguridad de Android conocida como Verify Apps indica que la versión recién descubierta de Pegasus se había instalado en menos de tres docenas de dispositivos.

“Pegasus para Android es un ejemplo del conjunto de características comunes que vemos de los estados-nación y grupos similares”, escribieron los investigadores de Lookout en un análisis técnico publicado el lunes. “Estos grupos producen amenazas persistentes avanzadas (APT por sus siglas en inglés) para móviles con el objetivo específico de monitorear un objetivo no sólo en el mundo físico, sino también en el mundo virtual”.

Al igual que su contraparte de iOS, Pegasus para Android ofrece una amplia gama de funciones de espionaje, incluyendo:

  • Keylogging
  • Captura de pantalla
  • Captura de audio y video en vivo
  • Control remoto del malware vía SMS
  • Exfiltración de datos de mensajería de aplicaciones comunes incluyendo WhatsApp, Skype, Facebook, Twitter, Viber y Kakao
  • Exfiltración del historial del navegador
  • Exfiltración de email del cliente de correo electrónico nativo de Android
  • Exfiltración de contactos y mensajes de texto

Esta aplicación se autodestruirá

Pegasus para Android también tiene la capacidad de autodestrucción cuando está en riesgo de ser descubierto o comprometido. El mecanismo de autodestrucción puede activarse de varias maneras: si el código de país asociado a la tarjeta SIM del móvil no es válido; si existe un archivo “antídoto” en el directorio /sdcard/MemosForNotes; Si la aplicación no ha podido conectarse a un servidor controlado por el atacante durante 60 días; o si la aplicación recibe un comando del servidor para eliminarse.

“Está claro que este malware fue desarrollado para ser furtivo, enfocado y muy sofisticado”, escribieron los investigadores de Lookout en un blog.

La versión iOS de Pegasus tomaba control de los dispositivos mediante la explotación de un trío de vulnerabilidades de seguridad críticas que eran desconocidas para Apple y la mayoría de los investigadores de seguridad. Todo lo que se requería para infectar un iPhone era acceder un sitio web comprometido (Apple corrigió las vulnerabilidades al mismo tiempo que investigadores de Citizen Lab y Lookout anunciaron su descubrimiento). En el caso de que el intento de jailbreak de iOS no tuviera éxito, Pegasus cesaría todos los intentos de infectar el iPhone.

Pegasus para Android, por el contrario, no se basa en bugs de seguridad de día cero para rootear los dispositivos e infectarlos. En su lugar, utiliza una conocida técnica de rooting llamada Framaroot en un intento de anular las salvaguardas de seguridad incorporadas en el sistema operativo Android. En el caso de que el rooting no funcione, la aplicación de espionaje busca permisos necesarios para exfiltrar datos. Como resultado, Pegasus para Android es más fácil de desplegar y tiene oportunidades adicionales para aprovechar si el primer intento falla.

La aplicación nunca estuvo alojada en Google Play, dijo Google en su propio blog publicado el lunes. Verify Apps mostró a Israel como el país que alberga el mayor número de teléfonos atacados, seguido por Georgia, México, Turquía, Kenia, Kirguistán, Nigeria, Tanzania, Ucrania y Uzbekistán.

Tanto el blog de Lookout como el blog de Google atribuyeron la creación de Pegasus para Android a NSO Group, un vendedor israelí de exploits al que también se le atribuyó la creación de Pegasus para iOS. El llamado software de interceptación legal se vende ostensiblemente a las agencias de seguridad legítimas para que puedan investigar y procesar los crímenes. En la práctica, las herramientas se utilizan rutinariamente contra ciudadanos de Rusia, Irán y muchos otros países con gobiernos represivos.

Dado que los ataques de Pegasus fueron altamente dirigidos, las probabilidades de que infectara a los lectores de esta publicación son extremadamente bajas. El análisis técnico mencionado anteriormente permitirá a personas técnicamente más conocedoras saber si un teléfono determinado ha sido comprometido. Lookout exhorta a cualquier persona con información sobre Pegasus para Android o iOS a contactar a los investigadores en threatintel@lookout.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *