En août 2016, Apple patchait en urgence sa plate-forme mobile iOS avec une version iOS 9.3.5 destinée à protéger les utilisateurs contre le malware mobile Pegasus conçu par l'enteprise israélienne NSO Group spécialisée dans la fourniture d'outils exploitant des vulnérabilités pas encore corrigées vendus à des agences gouvernementales.
Dans les mois qui ont suivi, Google et l'éditeur d'antivirus Lookout ont observé l'émergence d'une version similaire (initialement connue sous le nom Chrysaor) de Pegasus touchant la plate-forme mobile Android.
Dans un billet de blog, Google et Lookout décrivent ce qu'ils présentent comme l'un des malwares les plus sophistiqués destinés à s'insinuer dans les appareils mobiles d'individus ciblés pour obtenir des informations.
Ils décrivent l'ensemble des possibilités de Pegasus sur Android et la liste est plutôt longue, entre récupération des frappes sur le clavier virtuel, prise de captures d'écran, écoute audio via le micro, récupération des messages diffusés sur les messageries instantanées, récupération des historiques de navigation, ainsi que des emails, des contacts et des SMS.
Dans le même temps, Pegasus sur Android sait se faire discret et est capable de s'auto-détruire pour éviter d'être découvert. Un protocole d'effacement automatique du malware est prévu lorsque l'identifiant SIM est invalide, qu'un antidote risquant de révéler son existence est détecté, ou encore lorsqu'il n'a pas reçu de commande depuis un serveur pendant 60 jours.
Mais Pegasus pour Android n'est pas une copie exacte de la version iOS. Il n'exploite pas de faille zero-day pour prendre le contrôle total du smartphone mais il utilise une technique baptisée Framaroot qui rend plus facile sa diffusion par rapport à iOS en continuant de tenter de récupérer des données même si la tentative initiale de root échoue (alors que dans le cas d'iOS, l'attaque ne va pas plus loin si le jailbreak initial échoue).
En connaissant mieux le fonctionnement de cette menace, Google a pu envoyer des notifications aux individus potentiellement visés par le malware et proposer des remèdes pour s'en débarrasser. Pegasus pour Android est principalement actif au Moyen-Orient et en Amérique du Sud.
