Hier, Google et notre partenaire Lookout ont annoncé la découverte du spyware Pegasus sur Android (Chrysaor). Chrysaor est un spyware supposément créé par le groupe NSO et est en lien avec Pegasus sur iOS qui fut découvert par Lookout et Citizen Lab en août 2016 (ce qui avait déclenché la sortie urgente d’iOS 9.3.5 par Apple, 10 jours seulement après la découverte de Pegasus).

Les utilisateurs de Lookout sont déjà protégés contre cette menace.

Ce que Pegasus / Chrysaor est capable d’exfiltrer d’un Android :

  • Données provenant d’apps de messaging telles que Whatsapp, Viber, Kakao, Facebook, Gmail, Skype, Twitter, clients de mails natifs…,
  • La liste des contacts, SMS, historique de navigateur, liste complète des applications installées, liste exhaustive des applications tournant en arrière-plan (avec capture d’écran des applications affichées à l’écran),
  • Appel vocaux et conversations ayant lieu à proximité du microphone du terminal
  • Keylogging,
  • Accès aux caméras frontales et arrières,
  • Par ailleurs, le terminal devient contrôlable à distance via des ordres transmis à Pegasus par SMS. Les SMS sont interprétés par le spyware et peuvent-être aussitôt supprimés du terminal.

Aussi, ce spyware est capable de s’autodétruire dans les cas suivants :

  • L’identifiant MCC de la carte SIM est invalide,
  • Impossibilité de joindre pendant 60 jours d’affilée les serveurs de surveillance / commande & contrôle ou d’upload des données exfiltrées,
  • Réception d’une commande d’autodestruction de la part des serveurs de surveillance.

Il est évident que spyware a été conçu afin d’être discret, extrêmement ciblé et hautement sophistiqué.

Comment fonctionne Pegasus / Chrysaor :

Après son installation silencieuse, Pegasus exploite des vulnérabilités connues telles que Framaroot pour accéder à la racine d’un terminal. Toutefois, si le terminal n’est pas vulnérable aux failles telles que Framaroot, Pegasus peut collecter et exfiltrer des données via des stratégies traditionnelles de développement sur Android. Le cheminement de cette chaine d’exploitation est décrit sur le schéma ci-dessous :

Chrysaor

Le MDM vous protège-t-il de Chrysaor ?

Non.

Alors que les solutions de MDM sont en mesure de détecter le rootage / jailbreak, aucune solution existante n’est en mesure de détecter qu’un terminal a été infecté par Pegasus car ce dernier agit sans accès root, et donc, sans porter atteinte en apparence à l’intégrité de l’OS.

Etendue de la menace :

De ce que l’on en sait, les terminaux impactés par ce spyware se trouvent principalement dans les pays suivants :

Chrysaor

Le rapport technique complet de notre partenaire Lookout peut être consulté ici : https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-android-technical-analysis.pdf

L’annonce (discrète) de Google : https://android-developers.googleblog.com/2017/04/an-investigation-of-chrysaor-malware-on.html

Si comme nous, vous pensez qu’il est grand temps de prendre les menaces mobiles au sérieux, contactez-nous pour en savoir plus.