Onderzoekers van beveiligingsbedrijf Lookout hebben overheidsspyware voor Android ontdekt die buiten Google Play werd aangeboden en via social engineering op de toestellen van een klein aantal slachtoffers werd geïnstalleerd. De spyware is ontwikkeld door de NSO Group, die ook achter de Pegasus-spyware voor iOS zit die vorig jaar werd ontdekt. De iOS-spyware verspreidde zich echter via drie zerodaylekken in iOS.

In het geval van de Android-spyware maakten de aanvallers gebruik van social engineering zodat slachtoffers de kwaadaardige apps zelf op hun eigen toestel installeerden. Voorbeelden van de aanval zijn niet bekend, maar Google denkt dat gebruikers werden verleid om de kwaadaardige app te installeren. Aangezien de spyware buiten Google Play werd aangeboden moesten gebruikers de beveiliging van hun toestel eerst uitschakelen voordat ze de kwaadaardige app konden installeren, aangezien Android standaard geen apps van onbekende bronnen installeert.

De spyware in kwestie wordt Chrysaor genoemd en is door Google op minder dan 30 toestellen aangetroffen, voornamelijk in Israël, gevolgd door Georgië en Mexico. de NSO Group bevindt zich ook in Israël. Na de installatie probeerde de spyware via bekende Androidlekken zijn rechten te verhogen. In het geval het toestel niet kwetsbaar was werd geprobeerd om via een "superuser binary" de rechten te verhogen.

Eenmaal actief kan de spyware toetsaanslagen opslaan, screenshots maken, audio via de microfoon opnemen en surfgeschiedenis, adresboek, sms-berichten en e-mails stelen, alsmede data van populaire apps. De malware kan via sms worden aangestuurd en gegevens via bekende apps zoals WhatsApp, Skype, Facebook en Twitter naar de aanvallers terugsturen. Verder zal de malware zich in bepaalde gevallen automatisch verwijderen, bijvoorbeeld als het meer dan 60 dagen geen verbinding met de servers van de aanvallers heeft gemaakt.

Google Play

Volgens Google is de kans dat gebruikers met de Chrysaor-spyware in aanraking zijn gekomen bijzonder klein. Infecties waren echter eenvoudig te voorkomen geweest als gebruikers alleen apps van Google Play hadden gedownload. Net als bij andere spyware en malware blijkt keer op keer dat gebruikers apps van onbetrouwbare bronnen buiten Google Play om downloaden en zo geïnfecteerd raken. Google herhaalt daarom het advies om alleen van betrouwbare bronnen te downloaden zoals Google Play.

Verder wordt aangeraden om de schermvergrendeling in te stellen die lastig voor anderen is om te raden, zodat een aanvaller met fysieke toegang niet eenvoudig de app kan installeren. Verder wordt geadviseerd om updates meteen te installeren. Eén van de Chrysaor-versies was speciaal voor Android 4.3 Jellybean en ouder gemaakt. Ook doen gebruikers er verstandig aan om te oefenen met de Android Device Manager om toestellen te vinden. "De kans dat je je toestel verliest is namelijk veel groter dan dat je malware installeert", aldus Google.