Um produto comercial de spyware oferecido pela empresa de spyware Intellexa (anteriormente Cytrox) foi descrito pela Cisco Talos.
Ao projetar procedimentos de implantação que frequentemente exigem pouco ou nenhum envolvimento do usuário, os fornecedores de spyware fazem esforços significativos para tornar as cargas finais difíceis de identificar, obter, analisar e defender.
O método de entrega é normalmente uma cadeia de explorações que pode começar com uma exploração sem clique, como FORCEDENTRY, que é produzida pela empresa israelense de spyware NSO Group, ou com um link no qual a vítima é enganada a clicar (ou seja, um “um -click” exploit) como o desenvolvido pela empresa de vigilância Cytrox para implantar seu spyware conhecido como “PREDATOR”.
PREDATOR é um spyware mercenário intrigante que existe desde pelo menos 2019.
Foi criado para ser flexível para que novos módulos baseados em Python pudessem ser fornecidos sem exploração recorrente, tornando-o muito versátil e arriscado.
Foi determinado que ele utiliza para interagir com outro componente de spyware que foi implantado junto com ele e é conhecido como “ALIEN”.
As duas partes permitem que o sistema operacional Android contorne medidas de segurança mais estabelecidas.
“Um mergulho profundo em ambos os componentes de spyware indica que o Alien é mais do que apenas um carregador para o Predator e configura ativamente os recursos de baixo nível necessários para que o Predator espione suas vítimas”, Cisco Talos disse.
Spyware Estágios de Ataque
Como a maioria das ferramentas de spyware que surgiram recentemente, os produtos de spyware da Intellexa possuem uma variedade de partes que podem ser categorizadas em três categorias principais que correspondem aos vários estágios do ataque:
Nas cadeias de exploração, os dois primeiros, exploração e escalonamento de privilégios, começam aproveitando uma vulnerabilidade remota para obter privilégios de execução remota de código (RCE), depois passam para a mitigação, evasão e escalonamento de privilégios – uma vez que os processos vulneráveis são frequentemente menos privilegiados – para completar o ataque.
“Embora ALIEN e PREDATOR possam ser usados em dispositivos móveis Android e iOS, as amostras que analisamos foram projetadas especificamente para Android”, explicou Talos.
“Para escalonamento de privilégios, o spyware é configurado para usar um método chamado QUAILEGGS ou, se QUAILEGGS não estiver presente, usará um método diferente chamado “kmem”. As amostras que analisamos estavam rodando QUAILEGGS.”
Cisco Talos propôs que o Tcore poderia ter usado recursos adicionais, incluindo acesso à câmera, rastreamento de geolocalização e simulação de desligamento, para espionar discretamente as vítimas.
É determinado que a funcionalidade essencial do spyware está incluída no pacote Tcore Python. O código nativo de ALIEN e PREDATOR foi analisado e os resultados mostram que o spyware pode gravar áudio de VOIPaplicativos baseados em aplicativos e chamadas telefônicas.
Além disso, pode coletar dados de alguns dos programas mais utilizados, incluindo Signal, WhatsApp e Telegram. Devido à funcionalidade periférica, os aplicativos podem ficar ocultos e não podem ser executados quando um dispositivo é reinicializado.
De acordo com a avaliação, o KMEM oferece acesso arbitrário de leitura e gravação ao espaço de endereço do kernel.
“Alien não é apenas um carregador, mas também um executor – seus múltiplos threads continuarão lendo comandos vindos do Predator e executando-os, fornecendo ao spyware os meios para contornar alguns dos recursos de segurança da estrutura do Android”, disse a empresa.
Quando combinados, esses componentes oferecem uma variedade de recursos de roubo de informações, vigilância e acesso remoto.
O Talos não tem acesso a todos os aspectos do spyware. Portanto, esta lista de capacidades não pretende ser abrangente.
Se o spyware for executado em um aparelho Samsung, Huawei, Oppo ou Xiaomi, ele também poderá adicionar certificados à loja e enumerar o conteúdo de vários diretórios no disco.
O spyware vem como um binário ELF antes de criar um ambiente de execução Python.
Ele enumerará recursivamente o conteúdo dos seguintes diretórios de disco se algum dos nomes desses fabricantes corresponder:
Pensamentos finais
A maior parte do spyware comercial é feita para uso governamental, e empresas como o Grupo NSO promovem seus produtos como parte de uma tecnologia que auxilia na prevenção do terrorismo, na investigação criminal e no aprimoramento da segurança nacional.
No entanto, nos últimos anos, surgiram preocupações éticas e legais em torno destes dispositivos de espionagem, que a comunidade de segurança tem referido como “spyware mercenário”.
A administração Biden-Harris emitiu uma Ordem Executiva em 27 de março de 2023, que proíbe o uso pelo governo dos EUA de spyware comercial que possa pôr em perigo a segurança nacional ou que tenha sido explorado por partes estrangeiras para permitir abusos dos direitos humanos em resposta à rápida proliferação e preocupação crescente com o uso indevido desses produtos.
