Durante le indagini che hanno permesso di scoprire il malware Pegasus per iOS, gli esperti di Lookout hanno individuato uno spyware simile su alcuni smartphone Android, al quale l’azienda statunitense ha attribuito il nome di Pegasus per Android. Google ha invece scelto il nome Chrysaor (Crisaore è il fratello di Pegaso, secondo la mitologia greca) per distinguerlo dalla versione iOS. In ogni caso, lo scopo è sempre lo stesso: rubare diversi dati personali dal dispositivo mobile e, se necessario, attivare l’auto-distruzione.
Pegasus è stato sviluppato da NSO Group, un’organizzazione che vende il malware ai governi per la cifra di un milione di dollari. Lo spyware è uno dei più avanzati in assoluto, in quanto consente lo spionaggio remoto di specifici target, solitamente attivisti dei diritti umani, giornalisti e oppositori politici. A differenza della versione iOS, che sfruttava tre vulnerabilità zero-day (risolte da Apple), la versione Android riesce ad ottenere l’accesso allo smartphone, anche se il tentativo iniziale di rooting fallisce.
Una volta installato sul dispositivo, Pegasus usa i microfoni per ascoltare le conversazioni dell’utente e delle persone nelle vicinanze, registra i tasti premuti, scatta screenshot dello schermo, invia ad un server remoto numerosi dati personali, come SMS, messaggi di WhatsApp, Skype, Facebook, Twitter e Viber, email, cronologia del browser ed elenco dei contatti presenti in rubrica. La funzionalità di auto-distruzione viene attivata quando il server non viene contattato per 60 giorni, se il SIM MCC ID è sbagliato e se riceve un comando di cancellazione da remoto.
Google ha bloccato lo spyware con gli ultimi aggiornamenti di sicurezza. Dato che le patch non verranno mai distribuite per gli smartphone più vecchi, l’azienda consiglia di evitare l’installazione di app da origini sconosciute, scegliendo solo quelle pubblicate sul Google Play Store.