Pegasus: Phần mềm gián điệp tinh vi nhất trong lịch sử Android

Có tên gọi Pegasus, phần mềm gián điệp trên Android này chính là một biến thể của Pegasus cho iOS, một nền tảng gián điệp được phát hiện hồi tháng 8 năm ngoái trên chiếc iPhone của một nhà hoạt động nhân quyền Ả-rập. Các chuyên gia của Google và hãng bảo mật di động Lookout đã phát hiện ra sự tồn tại của Pegasus trên Android những tháng sau đó, khi họ "lùng sục" trên internet. Google nói rằng, một tính năng bảo mật của Android có tên Verify Apps phát hiện ra phiên bản Pegasus mới này đã được cài đặt trên một số thiết bị Andoid.

"Pegasus cho Android là một ví dụ về các công cụ gián điệp 'full' tính năng có nguồn gốc từ các nhóm nhà nước độc lập hoặc các nhóm tương tự. Những nhóm này liên tục tạo ra các mối đe doạ với thiết bị di động với mục tiêu theo dõi một đối tượng không chỉ ở thế giới thực mà còn cả trong thế giới ảo".

Keylog (ghi lại thao tác gõ phím)

Chụp ảnh màn hình

Nghe lén và quay lén

Điều khiển malware từ xa qua SMS

Ăn cắp dữ liệu tin nhắn từ các ứng dụng phổ biến như WhatsApp, Skype, Facebook, Twitter, Viber, và Kakao.

Lấy trộm email từ ứng dụng email tích hợp trên Android

Lấy trộm danh bạ và tin nhắn (SMS)

Có khả năng tự phá huỷ

Pegasus trên Android cũng có khả năng tự phá huỷ khi nó nhận ra mình gặp nguy hiểm (bị phát hiện ra). Cơ chế tự huỷ có thể được kích hoạt theo nhiều cách: tự huỷ nếu mã vùng quốc gia liên kết với thẻ SIM không hợp lệ; nếu một file 'giải độc' nào đó được đưa vào thư mục /sdcard/MemosForNotes, nếu ứng dụng không thể kết nối với các máy chủ mà hacker điều khiển trong 60 ngày, hay nếu ứng dụng nhận được một lệnh từ máy chủ để tự 'kết liễu' số phận của nó.

"Rõ ràng malware này được thiết kế để hoạt động lén lút và nó rất tinh vi" - các nhà nghiên cứu của Lookout cho biết trên blog của mình.

Phiên bản Pegasus trên iOS kiểm soát các thiết bị mục tiêu bằng cách khai thác 3 lỗ hổng bảo mật quan trọng mà Apple cũng như hầu hết các chuyên gia bảo mật không biết đến. Thiết bị chạy iOS sẽ bị lây nhiễm khi người dùng truy cập vào một website đã bị hacker cài bẫy. (Apple đã vá các lỗ hổng trong cùng ngày mà Citizen Lab và Lookout công bố phát hiện của họ). Trong trường hợp không bẻ khoá thành công thiết bị mục tiêu, Pegasus sẽ dừng mọi cố gắng để lây nhiễm lên chiếc iPhone đó.

Ngược lại, Pegasus trên Android không phụ thuộc vào các lỗ hổng bảo mật zero-day để root thiết bị mục tiêu nhằm lây nhiễm. Thay vào đó, nó sử dụng một kỹ thuật root nổi tiếng có tên Framaroot nhằm ghi đè lên các công cụ bảo mật tích hợp trong Android. Trong trường hợp root không thành công, ứng dụng gián điệp này sẽ tìm cách để nạn nhân cấp cho nó các quyền giúp nó ăn cắp dữ liệu. Do vậy, việc triển khai Pegasus trên Android dễ dàng hơn so với iOS và có cơ hội lây nhiễm cao hơn khi hacker có thể thử cách khác nếu lần áp dụng đầu tiên không thành công.

Ứng dụng này chưa bao giờ có mặt trên Google Play, theo công bố của Google trên blog vào ngày hôm qua. Tính năng Verify Apps của Android xác định rằng Israel là quốc gia có nhiều smartphone nhất mà malware này nhắm đến, tiếp sau đó là Georgia, Mexico, Thổ Nhĩ Kỳ, Kenya, Kyrgyzstan, Nigeria, Tanzania, Các Tiểu vương quốc Arab thống nhất, Ukraine, và Uzbekistan.

Cả Lookout và Google đều nhận định rằng, Pegasus trên Android là do công ty NSO Group đến từ Israel làm ra. Công ty này chuyên đi tìm các lỗ hổng bảo mật rồi bán chúng với giá cao, và nhóm này được cho cũng là những kẻ đứng đằng sau malware Pegasus phiên bản trên iOS. Dạng phần mềm được gọi với cái tên 'phần mềm đánh chặn hợp pháp' này sẽ được NSO bán cho các cơ quan thực thi pháp luật để họ điều tra và truy tìm tội phạm.

Có thể thấy, Pegasus nhắm tới những đối tượng khá đặc biệt chứ không nhằm vào người dùng thông thường, nên chúng ta cũng không phải quá lo lắng. Với những ai am hiểu kỹ thuật, họ có thể xem bài phân tích kỹ thuật cụ thể của Lookout để xác định một thiết bị nào đó có bị lây nhiễm hay không.