Οι ερευνητές ασφαλείας έχουν περιγράψει λεπτομερώς τις εσωτερικές λειτουργίες του εμπορικού spyware Android που ονομάζεται Predator, το οποίο διατίθεται στην αγορά από την ισραηλινή εταιρεία Intellexa (παλαιότερα Cytrox).
Το Predator τεκμηριώθηκε για πρώτη φορά από την Ομάδα Ανάλυσης Απειλών (TAG) της Google τον Μάιο του 2022 ως μέρος επιθέσεων που αξιοποιούν πέντε διαφορετικά ελαττώματα μηδενικής ημέρας στο πρόγραμμα περιήγησης ιστού Chrome και στο Android.
Το λογισμικό υποκλοπής spyware, το οποίο παραδίδεται μέσω ενός άλλου στοιχείου φόρτωσης, γνωστό ως Alien, είναι εξοπλισμένο για εγγραφή ήχου από τηλεφωνικές κλήσεις και εφαρμογές που βασίζονται σε VoIP, καθώς και για συλλογή επαφών και μηνυμάτων, συμπεριλαμβανομένων των Signal, WhatsApp και Telegram.
Οι άλλες λειτουργίες του επιτρέπουν να κρύβει εφαρμογές και να αποτρέπει την εκτέλεση εφαρμογών κατά την επανεκκίνηση του ακουστικού.
«Μια βαθιά κατάδυση και στα δύο στοιχεία spyware δείχνει ότι το Alien δεν είναι απλώς ένας φορτωτής για το Predator και ρυθμίζει ενεργά τις δυνατότητες χαμηλού επιπέδου που απαιτούνται για να κατασκοπεύει το Predator τα θύματά του», δήλωσε η εταιρεία Cisco Talos σε μια τεχνική έκθεση.
Τα spyware όπως το Predator και το Pegasus της NSO Group παραδίδονται προσεκτικά ως μέρος επιθέσεων υψηλής στόχευσης με όπλα με τις λεγόμενες αλυσίδες εκμετάλλευσης μηδενικού κλικ που συνήθως δεν απαιτούν αλληλεπίδραση από τα θύματα και επιτρέπουν την εκτέλεση κώδικα και την κλιμάκωση των προνομίων.
«Το Predator είναι ένα ενδιαφέρον κομμάτι μισθοφόρου spyware που κυκλοφορεί τουλάχιστον από το 2019, σχεδιασμένο να είναι ευέλικτο, ώστε να μπορούν να παραδοθούν νέες μονάδες που βασίζονται σε Python χωρίς την ανάγκη επαναλαμβανόμενης εκμετάλλευσης, καθιστώντας το έτσι ιδιαίτερα ευέλικτο και επικίνδυνο», εξήγησε η Talos.
Τόσο το Predator όσο και το Alien έχουν σχεδιαστεί για να ξεπερνούν τα προστατευτικά κιγκλιδώματα στο Android – μια προστασία που ονομάζεται Security-Enhanced Linux (SELinux) – με το τελευταίο να φορτώνεται σε μια βασική διαδικασία Android που ονομάζεται Zygote για λήψη και εκκίνηση άλλων λειτουργικών μονάδων spyware, μετρώντας το Predator, από ένα εξωτερικό υπηρέτης.
Προς το παρόν δεν είναι ξεκάθαρο πώς ενεργοποιείται αρχικά το Alien σε μια μολυσμένη συσκευή. Ωστόσο, υπάρχει υποψία ότι φορτώνεται από shellcode που εκτελείται εκμεταλλευόμενοι εκμεταλλεύσεις αρχικού σταδίου.
«Το Alien δεν είναι απλώς ένας φορτωτής αλλά και ένας εκτελεστής – τα πολλαπλά νήματα του θα συνεχίσουν να διαβάζουν εντολές που προέρχονται από το Predator και να τις εκτελούν, παρέχοντας στο λογισμικό υποκλοπής τα μέσα για να παρακάμψει ορισμένες από τις λειτουργίες ασφαλείας πλαισίου Android», είπε η εταιρεία.
Οι διάφορες λειτουργικές μονάδες Python που σχετίζονται με το Predator καθιστούν δυνατή την εκτέλεση μιας ευρείας σειράς εργασιών όπως η κλοπή πληροφοριών, η επιτήρηση, η απομακρυσμένη πρόσβαση και η αυθαίρετη εκτέλεση κώδικα.
Το spyware, το οποίο έρχεται ως δυαδικό ELF πριν από τη ρύθμιση ενός περιβάλλοντος χρόνου εκτέλεσης Python, μπορεί επίσης να προσθέσει πιστοποιητικά στο κατάστημα και να απαριθμήσει τα περιεχόμενα διαφόρων καταλόγων στο δίσκο, εάν εκτελείται σε μια συσκευή που κατασκευάζεται από τη Samsung, τη Huawei, την Oppo ή τη Xiaomi.
Τούτου λεχθέντος, υπάρχουν ακόμα πολλά κομμάτια που λείπουν που θα μπορούσαν να βοηθήσουν στην ολοκλήρωση του παζλ επίθεσης. Αυτό περιλαμβάνει μια κύρια ενότητα που ονομάζεται tcore και έναν μηχανισμό κλιμάκωσης προνομίων που ονομάστηκε kmem, και τα δύο από τα οποία έχουν παραμείνει άπιαστα μέχρι στιγμής.
Η Cisco Talos θεώρησε ότι η tcore θα μπορούσε να έχει εφαρμόσει άλλες δυνατότητες όπως η παρακολούθηση γεωγραφικής θέσης, η πρόσβαση στην κάμερα και η προσομοίωση ενός τερματισμού λειτουργίας για κρυφή κατασκοπεία θυμάτων.
«Μία από τις βασικές ανακαλύψεις […] ήταν η τεράστια συνένωση των δυνατοτήτων μεταξύ του Predator και του Alien», είπε ο Asheer Malhotra, ερευνητής απειλών για τη Cisco Talos, στο The Hacker News.
«Το Alien είναι ζωτικής σημασίας για την επιτυχημένη λειτουργία του Predator, συμπεριλαμβανομένων των πρόσθετων εξαρτημάτων που φορτώνονται από το Predator on demand. Η σχέση μεταξύ του Alien και του Predator είναι εξαιρετικά συμβιωτική, απαιτώντας τους να εργάζονται συνεχώς μαζί για να κατασκοπεύουν τα θύματα».
Τα ευρήματα έρχονται καθώς η χρήση εμπορικού spyware από τους φορείς απειλών έχει αυξηθεί τα τελευταία χρόνια, καθώς ο αριθμός των εταιρειών μισθοφόρων στον κυβερνοχώρο που παρέχουν αυτές τις υπηρεσίες βρίσκεται σε ανοδική τροχιά.
Ενώ αυτά τα εξελιγμένα εργαλεία προορίζονται για αποκλειστική χρήση από τις κυβερνήσεις για την αντιμετώπιση σοβαρού εγκλήματος και την καταπολέμηση των απειλών για την εθνική ασφάλεια, έχουν επίσης γίνει κατάχρηση από πελάτες για παρακολούθηση αντιφρονούντων, ακτιβιστών ανθρωπίνων δικαιωμάτων, δημοσιογράφων και άλλων μελών της κοινωνίας των πολιτών.
Για παράδειγμα, η ομάδα ψηφιακών δικαιωμάτων Access Now είπε ότι αποκάλυψε στοιχεία ότι ο Pegasus στόχευε δώδεκα άτομα στην Αρμενία – μεταξύ των οποίων ένας εργαζόμενος σε ΜΚΟ, δύο δημοσιογράφοι, ένας αξιωματούχος των Ηνωμένων Εθνών και ένας διαμεσολαβητής ανθρωπίνων δικαιωμάτων στην Αρμενία. Ένα από τα θύματα δέχθηκε χακάρισμα τουλάχιστον 27 φορές μεταξύ Οκτωβρίου 2020 και Ιουλίου 2021.
Δεν υπάρχουν οριστικοί σύνδεσμοι που να συνδέουν τη χρήση του spyware με μια συγκεκριμένη κρατική υπηρεσία είτε στην Αρμενία είτε στο Αζερμπαϊτζάν. Αξίζει να σημειωθεί ότι η Αρμενία αποκαλύφθηκε ως πελάτης της Intellexa από τη Meta τον Δεκέμβριο του 2021 σε επιθέσεις που είχαν στόχο πολιτικούς και δημοσιογράφους στη χώρα.
Πηγές Άρθρου:
https://thehackernews.com/2023/05/predator-android-spyware-researchers.html
https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/
https://www.reuters.com/world/researchers-find-israeli-made-spyware-deployed-across-armenia-2023-05-25/
