11

CBA ma trojana Pegasus. Oto jak on działa

Jak podaje Niebezpiecznik, w sieci pojawiła się instrukcja obsługi trojana Pegasus - oprogramowania szpiegującego, z którego korzysta mnóstwo służb rządowych na całym świecie i jak się okazuje... również Centralne Biuro Antykorupcyjne. Informacje dotyczące Pegasusa nie obejmują jego najnowszych wersji: informacje pochodzą sprzed 3 lat. Od tego momentu wiele mogło się zmienić w trojanie.

Co potrafi Pegasus? Wykrada dane z urządzeń ofiar, jest w stanie infekować innym złośliwym oprogramowaniem, śledzić lokalizację ofiar i w naprawdę ciekawy sposób dostawać się do urządzeń wskazanych przez operatora. Wystarczy numer telefonu, aby spróbować zainfekować konkretny sprzęt. Jak wiadomo, Pegasus obsługuje systemy: iOS, Android, BlackBerry OS oraz Symbian. Nie wiadomo nic na temat feature phone’ów, które coraz częściej występują ze specjalnym OS-em (np. KaiOS).

Pegasus jest w stanie analizować historię połączeń, pliki, hasła, SMS-y, maile, przechwytywać rozmowy telefoniczne, te realizowane za pomocą komunikatorów oraz wykradać informacje z programów komunikacyjnych. Co więcej, w odróżnieniu od wielu gotowych rozwiązań, nie wymaga współpracy z operatorem sieci komórkowej. Ten ostatni nie musi wiedzieć o działaniach służb, by wszystko funkcjonowało tak, jak należy.

Jak Pegasus infekuje ofiarę?

Infekcja dokonuje się dwiema drogami: albo OTA (Over the Air), gdzie wysyła się wiadomość push na urządzenie i liczy się na to, że sprzęt samodzielnie pobierze oraz zainstaluje agenta. Można również wykorzystać socjotechnikę i wysłać wiadomość (np. SMS lub maila) z linkiem do pobrania agenta. Tutaj ofiara musi już wykonać konkretne działanie i od tego, czy da się złapać w pułapkę zależy, czy uda nam się zainfekować kolejny sprzęt. W pierwszym scenariuszu ofiara będzie zupełnie nieświadoma faktu chęci infekcji urządzenia.

Pegasus

Sam trojan doskonale ukrywa się w systemie: aby uniknąć detekcji, najczęściej korzysta z sieci WiFi do przesyłania danych na serwery operatora trojana. Stara się również nie wykorzystywać zbyt dużo takich zasobów jak wolne miejsce w pamięci urządzenia – po to, aby użytkownik nie zorientował się, że coś jest nie tak. W Pegasusie istnieje mechanizm samozniszczenia, jednak jak wykazali eksperci ds. cyberbezpieczeństwa, nie zawsze działa on tak, jak trzeba.

Czytaj więcej:Pegasus jest obecny również w Polsce

Pegasus pozwala również na instalację „z bliska” – manualnie lub za pomocą przejęcia ruchu z urządzenia ofiary.

Trojan jest w stanie podsłuchiwać użytkownika przez zainstalowany mikrofon, gdy telefon jest nieużywany. Wykorzystuje się połączenie telefoniczne do rejestrowania wszystkiego, co znajduje się wokół urządzenia – jest ono jednak zrywane w momencie, gdy sprzęt jest unoszony (akcelerometry). Użytkownik zauważy jedynie niewielkie opóźnienie i… „dziwne połączenie” w billingu. Niemniej, w dobie nielimitowanych pakietów mało kto będzie zwracał na to uwagę.

W sieci pojawiły się również zrzuty ekranowe przedstawiające konsolę operatorską Cerberusa – wszystko jest doskonale poukładane i występują również takie mechanizmy jak wykrywanie spotkań między inwigilowanymi osobami. Wszystko to ma na celu wyciągnięcie możliwie jak najwięcej informacji z osób, które mamy na celowniku.

Źródło: Niebezpiecznik