El malware de espionaje Pegasus para el sistema operativo Android podría ser el software para ataques informáticos más sofisticado y especializado para móviles que se haya visto en la actualidad, aseguraron analistas de la firma Lookout y Google en el primer análisis publicado sobre este malware.
Ocho meses después de la aparición de su contraparte para iOS, por fin se conocen los primeros detalles sobre las capacidades y alcance del software de la empresa israelí NSO Group.
De acuerdo con Lookout, la principal diferencia entre las versiones de Pegasus es que la de Android no requiere aprovechar vulnerabilidades “día cero”, como la de iOS, sino que utiliza una técnica conocida como framaroot.
Si esta técnica falla, Pegasus pedirá los permisos necesarios al dispositivo para acceder a la información y extraerla, lo que le permite ser mucho más versátil y le da oportunidades extra en caso de que falle el primer intento.
Además, Pegasus para Android puede autodestruirse y borrar sus rastros en caso de que el ID del país no corresponda con la SIM; exista un “antídoto”; no haya podido conectarse a los servidores en 60 días o reciba un comando del servidor para removerse.
“Es claro que este malware fue construido para ser sigiloso, preciso y muy sofisticado”, asegura Lookout en una entrada de blog sobre su investigación.
Otras capacidades de este programa son: keylogging; captura de pantalla; captura de audio en vivo; control remoto del malware via SMS; extracción de datos de aplicaciones de mensajería y redes sociales; extracción de historial de navegación; extracción de correo a través del cliente de Android y extracción de contactos y mensajes de texto.
Para poder localizarlo, los investigadores siguieron la pista de la versión de iOS y encontraron similitudes con algunas aplicaciones anómalas para Android, las cuales ubicaron en países como México, Israel, Georgia, Turquía y los Emiratos Árabes Unidos, entre otros.
La versión para iOS de Pegasus fue utilizada en México contra promotores del impuesto a las bebidas azucaradas, entre julio y septiembre de 2016, en un caso que hemos documentado de forma detallada.
