Ερευνητές ασφαλείας περιγράφουν λεπτομερώς τις εσωτερικές λειτουργίες του εμπορικού spyware Android που ονομάζεται Predator, το οποίο διατίθεται στην αγορά από την ισραηλινή εταιρεία Intellexa (παλαιότερα Cytrox).
Το Predator αναφέρθηκε για πρώτη φορά από την Ομάδα Ανάλυσης Απειλών (TAG) της Google τον Μάιο του 2022 ως μέρος επιθέσεων που αξιοποιούσαν πέντε διαφορετικά zero-day στο πρόγραμμα περιήγησης Chrome και στο Android.
Το λογισμικό υποκλοπής spyware, το οποίο παρέχεται μέσω ενός άλλου στοιχείου φόρτωσης, γνωστό ως Alien, είναι εξοπλισμένο για εγγραφή ήχου από τηλεφωνικές κλήσεις και εφαρμογές που βασίζονται σε VoIP, καθώς και για την συλλογή επαφών και μηνυμάτων, από διάφορες εφαρμογές όπως τις Signal, WhatsApp και Telegram.
Άλλες λειτουργίες του επιτρέπουν να κρύβει εφαρμογές και να αποτρέπει την εκτέλεση εφαρμογών κατά την επανεκκίνηση της συσκευής.
“Μια βαθιά κατάδυση και στα δύο στοιχεία λογισμικού υποκλοπής υποδηλώνει ότι το Alien δεν είναι απλώς ένας loader για το Predator αλλά ρυθμίζει ενεργά τις δυνατότητες χαμηλού επιπέδου που απαιτούνται για να κατασκοπεύει το Predator τα θύματά του”, ανέφερε η Cisco Talos σε μια τεχνική έκθεση.
Τα spyware όπως το Predator και το Pegasus της NSO Group παραδίδονται προσεκτικά ως μέρος επιθέσεων υψηλής στόχευσης με κακόβουλα λογισμικά zero click που συνήθως δεν απαιτούν κάποια αλληλεπίδραση από τα θύματα και επιτρέπουν εκτέλεση κώδικα και κλιμάκωση προνομίων.
“Το Predator είναι ένα ενδιαφέρον κομμάτι spyware που κυκλοφορεί τουλάχιστον από το 2019, σχεδιασμένο να είναι ευέλικτο, ώστε να μπορούν να παραδοθούν νέες μονάδες που βασίζονται σε Python χωρίς την ανάγκη επαναλαμβανόμενης εκμετάλλευσης, καθιστώντας το έτσι ιδιαίτερα ευέλικτο και επικίνδυνο”, αναφέρει η Talos.
Τόσο το Predator όσο και το Alien έχουν σχεδιαστεί για να ξεπερνούν τα προστατευτικά του Android – μια προστασία που ονομάζεται Security-Enhanced Linux (SELinux) – με το τελευταίο να φορτώνεται σε μια βασική διεργασία Android που ονομάζεται Zygote για λήψη και εκκίνηση άλλων spyware.
Προς το παρόν δεν είναι ξεκάθαρο πώς ενεργοποιείται αρχικά το Alien σε μια μολυσμένη συσκευή. Ωστόσο, υπάρχει υποψία ότι φορτώνεται από κάποιο shellcode που εκτελείται εκμεταλλευόμενο exploits αρχικού σταδίου.
“Το Alien δεν είναι απλώς ένας loader αλλά και ένας εκτελεστής – τα πολλαπλά νήματα του συνεχίζουν να διαβάζουν εντολές που προέρχονται από το Predator και τις εκτελούν, παρέχοντας στο spyware τα μέσα για να παρακάμψει ορισμένες από τις λειτουργίες ασφαλείας του Android”, αναφέρει η εταιρεία.
Οι διάφορες λειτουργικές μονάδες Python που σχετίζονται με το Predator καθιστούν δυνατή την εκτέλεση μιας ευρείας σειράς εργασιών όπως η κλοπή πληροφοριών, η επιτήρηση, η απομακρυσμένη πρόσβαση και η αυθαίρετη εκτέλεση κώδικα.
Διαβάστε όλη την τεχνική έκθεση της Cisco.
