Nachdem die Security-Firma Lookout letztes Jahr die iOS-Version des Staatstrojaners Pegasus entdeckt hatte. Im Unterschied zur iOS-Version nutzt die aktuelle Entdeckung bekannte Lücken im mittlerweile alten Android 4.3 Jelly Bean und keine Zero-Day-Exploits, kann aber auch ohne vollständigen Exploit nach Berechtigungen fragen und im Falle der Zustimmung Daten übermitteln.

Ist ein Gerät erstmal infiziert, können mit der Malware die Eingaben des Benutzers mitprotokolliert, live Gespräche mitgehört und aufgezeichnet, die Browserhistorie abgegriffen und Kontakte sowie SMS entwendet werden. Zudem können Daten aus Messanger extrahiert werden. Lookout nennt WhatsApp, Skype, Facebook, Twitter, Viber, Kakao sowie Androids Native Email-Client. Die Schadsoftware kann nicht nur über Http-Requests sondern auch über SMS gesteuert werden. Zudem hat sie eine Selbstzerstörungsfunktion, die von aussen aktiviert werden kann oder im sich Falle der Entdeckung – etwa wenn der Command-and-Control-Server 60 Tage nicht mehr erreicht werden kann – selber auslöst.

Hinter dem Trojaner soll die Firma NSO Group steckten, die von ehemaligen israelischen Geheimdienstmitarbeitern gegründet wurde. Eingesetzt wurde die Software auch gegen Menschenrechtsaktivisten und Journalisten, wie bei der Entdeckung der iOS-Variante bekannt wurde. Aktuell berichtet Google von Infektionen aus Israel, Georgien, Mexiko, der Türkei, Kenia, Kirgistan, Tanzania, Nigeria, den Vereinigten Arabischen Emiraten, der Ukraine und Usbekistan. Die Zahl der entdeckten Fälle soll aber im tiefen zweistelligen Bereich liegen.

Ganz billig ist die Überwachung nicht: Im Herbst war eine Preisliste der NSO Group aufgetaucht, aus der ersichtlich wird, was Staaten sich diese Angriffe kosten lassen. Für Einrichtung und Support von Pegasus zahlt man für zehn Lizenzen etwa 1,2 Millionen US-Dollar, schreibt die IT-Newsseite 'Golem'. (ts)