Predator Android Spyware: Νέες δυνατότητες κλοπής δεδομένων

Οι ερευνητές ασφαλείας έχουν περιγράψει λεπτομερώς τις εσωτερικές λειτουργίες του εμπορικού spyware Android που ονομάζεται Predator, το οποίο διατίθεται στην αγορά από την ισραηλινή εταιρεία Intellexa (παλαιότερα Cytrox).

Το Predator τεκμηριώθηκε για πρώτη φορά από την Ομάδα Ανάλυσης Απειλών (TAG) της Google τον Μάιο του 2022 ως μέρος επιθέσεων που αξιοποιούν πέντε διαφορετικά ελαττώματα μηδενικής ημέρας στο πρόγραμμα περιήγησης ιστού Chrome και στο Android.

Το λογισμικό υποκλοπής spyware, το οποίο παραδίδεται μέσω ενός άλλου στοιχείου φόρτωσης, γνωστό ως Alien, είναι εξοπλισμένο για εγγραφή ήχου από τηλεφωνικές κλήσεις και εφαρμογές που βασίζονται σε VoIP, καθώς και για συλλογή επαφών και μηνυμάτων, συμπεριλαμβανομένων των Signal, WhatsApp και Telegram.

Οι άλλες λειτουργίες του επιτρέπουν να κρύβει εφαρμογές και να αποτρέπει την εκτέλεση εφαρμογών κατά την επανεκκίνηση του ακουστικού.

Advertisements
Ad 14

«Μια βαθιά κατάδυση και στα δύο στοιχεία spyware δείχνει ότι το Alien δεν είναι απλώς ένας φορτωτής για το Predator και ρυθμίζει ενεργά τις δυνατότητες χαμηλού επιπέδου που απαιτούνται για να κατασκοπεύει το Predator τα θύματά του», δήλωσε η εταιρεία Cisco Talos σε μια τεχνική έκθεση.

Τα spyware όπως το Predator και το Pegasus της NSO Group παραδίδονται προσεκτικά ως μέρος επιθέσεων υψηλής στόχευσης με όπλα με τις λεγόμενες αλυσίδες εκμετάλλευσης μηδενικού κλικ που συνήθως δεν απαιτούν αλληλεπίδραση από τα θύματα και επιτρέπουν την εκτέλεση κώδικα και την κλιμάκωση των προνομίων.

«Το Predator είναι ένα ενδιαφέρον κομμάτι μισθοφόρου spyware που κυκλοφορεί τουλάχιστον από το 2019, σχεδιασμένο να είναι ευέλικτο, ώστε να μπορούν να παραδοθούν νέες μονάδες που βασίζονται σε Python χωρίς την ανάγκη επαναλαμβανόμενης εκμετάλλευσης, καθιστώντας το έτσι ιδιαίτερα ευέλικτο και επικίνδυνο», εξήγησε η Talos.

Διαβάστε επίσης  Το αποτύπωμα της τεχνολογίας στο περιβάλλον

Τόσο το Predator όσο και το Alien έχουν σχεδιαστεί για να ξεπερνούν τα προστατευτικά κιγκλιδώματα στο Android – μια προστασία που ονομάζεται Security-Enhanced Linux (SELinux) – με το τελευταίο να φορτώνεται σε μια βασική διαδικασία Android που ονομάζεται Zygote για λήψη και εκκίνηση άλλων λειτουργικών μονάδων spyware, μετρώντας το Predator, από ένα εξωτερικό υπηρέτης.

Προς το παρόν δεν είναι ξεκάθαρο πώς ενεργοποιείται αρχικά το Alien σε μια μολυσμένη συσκευή. Ωστόσο, υπάρχει υποψία ότι φορτώνεται από shellcode που εκτελείται εκμεταλλευόμενοι εκμεταλλεύσεις αρχικού σταδίου.

«Το Alien δεν είναι απλώς ένας φορτωτής αλλά και ένας εκτελεστής – τα πολλαπλά νήματα του θα συνεχίσουν να διαβάζουν εντολές που προέρχονται από το Predator και να τις εκτελούν, παρέχοντας στο λογισμικό υποκλοπής τα μέσα για να παρακάμψει ορισμένες από τις λειτουργίες ασφαλείας πλαισίου Android», είπε η εταιρεία.

Οι διάφορες λειτουργικές μονάδες Python που σχετίζονται με το Predator καθιστούν δυνατή την εκτέλεση μιας ευρείας σειράς εργασιών όπως η κλοπή πληροφοριών, η επιτήρηση, η απομακρυσμένη πρόσβαση και η αυθαίρετη εκτέλεση κώδικα.

Το spyware, το οποίο έρχεται ως δυαδικό ELF πριν από τη ρύθμιση ενός περιβάλλοντος χρόνου εκτέλεσης Python, μπορεί επίσης να προσθέσει πιστοποιητικά στο κατάστημα και να απαριθμήσει τα περιεχόμενα διαφόρων καταλόγων στο δίσκο, εάν εκτελείται σε μια συσκευή που κατασκευάζεται από τη Samsung, τη Huawei, την Oppo ή τη Xiaomi.

Τούτου λεχθέντος, υπάρχουν ακόμα πολλά κομμάτια που λείπουν που θα μπορούσαν να βοηθήσουν στην ολοκλήρωση του παζλ επίθεσης. Αυτό περιλαμβάνει μια κύρια ενότητα που ονομάζεται tcore και έναν μηχανισμό κλιμάκωσης προνομίων που ονομάστηκε kmem, και τα δύο από τα οποία έχουν παραμείνει άπιαστα μέχρι στιγμής.

Διαβάστε επίσης  HarmonyOS: Το νέο λειτουργικό σύστημα της Huawei

Η Cisco Talos θεώρησε ότι η tcore θα μπορούσε να έχει εφαρμόσει άλλες δυνατότητες όπως η παρακολούθηση γεωγραφικής θέσης, η πρόσβαση στην κάμερα και η προσομοίωση ενός τερματισμού λειτουργίας για κρυφή κατασκοπεία θυμάτων.

«Μία από τις βασικές ανακαλύψεις […] ήταν η τεράστια συνένωση των δυνατοτήτων μεταξύ του Predator και του Alien», είπε ο Asheer Malhotra, ερευνητής απειλών για τη Cisco Talos, στο The Hacker News.

«Το Alien είναι ζωτικής σημασίας για την επιτυχημένη λειτουργία του Predator, συμπεριλαμβανομένων των πρόσθετων εξαρτημάτων που φορτώνονται από το Predator on demand. Η σχέση μεταξύ του Alien και του Predator είναι εξαιρετικά συμβιωτική, απαιτώντας τους να εργάζονται συνεχώς μαζί για να κατασκοπεύουν τα θύματα».

Τα ευρήματα έρχονται καθώς η χρήση εμπορικού spyware από τους φορείς απειλών έχει αυξηθεί τα τελευταία χρόνια, καθώς ο αριθμός των εταιρειών μισθοφόρων στον κυβερνοχώρο που παρέχουν αυτές τις υπηρεσίες βρίσκεται σε ανοδική τροχιά.

Ενώ αυτά τα εξελιγμένα εργαλεία προορίζονται για αποκλειστική χρήση από τις κυβερνήσεις για την αντιμετώπιση σοβαρού εγκλήματος και την καταπολέμηση των απειλών για την εθνική ασφάλεια, έχουν επίσης γίνει κατάχρηση από πελάτες για παρακολούθηση αντιφρονούντων, ακτιβιστών ανθρωπίνων δικαιωμάτων, δημοσιογράφων και άλλων μελών της κοινωνίας των πολιτών.

Για παράδειγμα, η ομάδα ψηφιακών δικαιωμάτων Access Now είπε ότι αποκάλυψε στοιχεία ότι ο Pegasus στόχευε δώδεκα άτομα στην Αρμενία – μεταξύ των οποίων ένας εργαζόμενος σε ΜΚΟ, δύο δημοσιογράφοι, ένας αξιωματούχος των Ηνωμένων Εθνών και ένας διαμεσολαβητής ανθρωπίνων δικαιωμάτων στην Αρμενία. Ένα από τα θύματα δέχθηκε χακάρισμα τουλάχιστον 27 φορές μεταξύ Οκτωβρίου 2020 και Ιουλίου 2021.

Διαβάστε επίσης  WWDC 2019: Όλα όσα είδαμε από την Apple

Δεν υπάρχουν οριστικοί σύνδεσμοι που να συνδέουν τη χρήση του spyware με μια συγκεκριμένη κρατική υπηρεσία είτε στην Αρμενία είτε στο Αζερμπαϊτζάν. Αξίζει να σημειωθεί ότι η Αρμενία αποκαλύφθηκε ως πελάτης της Intellexa από τη Meta τον Δεκέμβριο του 2021 σε επιθέσεις που είχαν στόχο πολιτικούς και δημοσιογράφους στη χώρα.

Πηγές Άρθρου:

https://thehackernews.com/2023/05/predator-android-spyware-researchers.html

https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/

https://www.reuters.com/world/researchers-find-israeli-made-spyware-deployed-across-armenia-2023-05-25/

 

 

Σπούδασα Ιστορία και Φιλοσοφία της Επιστήμης (Ε.Κ.Π.Α.) με μεταπτυχιακή ειδίκευση στις σπουδές Επιστήμης και Τεχνολογίας (STS) και μεταπτυχιακός φοιτητής στο Ε.Μ.Π. "Περιβάλλον και Ανάπτυξη". Με ενδιαφέροντα που αφορούν τις τεχνολογίες υπολογιστών, περιβάλλοντος και τεχνολογιών αιχμής.

Αρθρα απο την ιδια κατηγορια

Outfits εμπνευσμένα από τις αγαπημένες μας ταινίες.

Μόδα και Κινηματόγραφος. Δύο από τις μεγαλύτερες τέχνες και πήγες
Γουατεμάλα

Γουατεμάλα: Απόδραση στην εξωτική γη των Μάγιας

Γουατεμάλα, το λίκνο του θαυμαστού πολιτισμού των Μάγιας, η γη