В прошлом году большой резонанс получило высококлассное шпионское ПО Pegasus для iOS-устройств. Инструмент был разработан израильской компанией NSO Group, специализирующейся на инструментах для проведения криминалистической экспертизы смартфонов. Как оказалось, у вредоноса есть «брат-близнец» для Android, обладающий не менее потрясающим функционалом.
В понедельник, 3 апреля, эксперты Google и Lookout раскрыли подробности о шпионском ПО Chrysaor, разработчиком которого предположительно также является NSO Group. Вредонос способен похищать данные из сервисов электронной почты (например, Gmail) и мессенджеров (в том числе WhatsApp и Facebook), записывать аудио и видео с микрофона и камеры зараженного устройства, выполнять функции кейлоггера, а также самоуничтожаться.
Функция самоуничтожения активируется в случае, если программа не обнаружит на зараженном устройстве код мобильной связи страны – свидетельство того, что ОС запущена на эмуляторе. В отличие от Pegasus, Chrysaor эксплуатирует известные уязвимости в более старых версиях ОС.
Chrysaor никогда не распространялся через Google Play. Скорее всего, вредонос попадает на системы посредством фишинга. К большой удаче владельцев Android-устройств, исследователи зафиксировали менее трех десятков атак с использованием Chrysaor. Большинство жертв данных атак находятся в Израиле, однако некоторые также проживают в Грузии, Мексике и Турции.
Обнаружив в прошлом году шпионский инструмент Pegasus (исследователи Lookout назвали его самым сложным вредоносным ПО для мобильных устройств), эксперты решили проверить, существует ли его Android-версия. Специалисты проанализировали способ заражения устройств, сравнили его с подозрительной активностью избранной группы Android-приложений и таким образом вышли на Chrysaor.