Sicherheitsforscher haben die Android-Version einer iOS-Spyware namens Pegasus in einem Fall entdeckt, der zeigt, wie gezielt elektronische Überwachung sein kann. Chrysaor genannt, kann die Android-Variante Daten von Messaging-Anwendungen stehlen, über die Kamera oder das Mikrofon eines Telefons schnüffeln und sich sogar selbst löschen.
Am Montag veröffentlichten Google und die Sicherheitsfirma Lookout die Android-Spyware, von der sie vermuten, dass sie von der NSO Group stammt, einer israelischen Sicherheitsfirma, die dafür bekannt ist, Smartphone-Überwachungsprodukte zu entwickeln. Glücklicherweise hat die Spyware nie den Mainstream erreicht. Es wurde weniger als drei Dutzend Mal auf Opfergeräten installiert, von denen sich die meisten in Israel befanden, so Google. Weitere Opfergeräte befanden sich unter anderem in Georgien, Mexiko und der Türkei.
Die Benutzer wurden wahrscheinlich dazu verleitet, die bösartige Kodierung herunterzuladen, vielleicht durch einen Phishing-Angriff. Einmal installiert, kann die Spyware als Keylogger fungieren und Daten von beliebten Anwendungen wie WhatsApp, Facebook und Google Mail stehlen.
Darüber hinaus besitzt es eine Selbstmordfunktion, die aktiviert wird, wenn es keinen mobilen Ländercode auf dem Telefon erkennt – ein Zeichen dafür, dass das Android-Betriebssystem auf einem Emulator läuft. Die Überwachungsfunktionen ähneln denen der Pegasus, die ebenfalls mit der NSO-Gruppe verbunden ist.
Damals nannte Lookout die Spyware den raffiniertesten Angriff, den es je auf einem Gerät gab. Die iOS-Variante nutzte drei bisher unbekannte Schwachstellen aus, um ein Telefon zu übernehmen und den Benutzer zu überwachen. Die Spyware wurde aufgedeckt, als ein Menschenrechtsaktivist in den Vereinigten Arabischen Emiraten von ihr infiziert wurde. Sein Handy hatte eine SMS erhalten, die einen bösartigen Link zu der Spyware enthielt.
Apple hat schnell einen Patch herausgegeben. Lookout hatte aber auch untersucht, ob die NSO Group eine Android-Version entwickelt hat. Um das herauszufinden, verglich die Sicherheitsfirma, wie die iOS-Version ein iPhone kompromittiert und diese Signaturen mit verdächtigem Verhalten einer ausgewählten Gruppe von Android-Anwendungen abgleicht.
Diese Ergebnisse wurden dann mit Google geteilt, das es schaffte, die Betroffenen zu identifizieren. Im Gegensatz zur iOS-Version nutzt die Android-Variante jedoch keine unbekannten Schwachstellen aus. Stattdessen werden bekannte Fehler in älteren Android-Versionen angezapft.
Chrysaor war nie bei Google Play verfügbar, und die geringe Anzahl der gefundenen infizierten Geräte deutet darauf hin, dass die meisten Benutzer nie darauf stoßen werden, sagte der Suchriese. NSO Group unterhält keine öffentliche Website, aber E-Mails an das Unternehmen blieben unbeantwortet.