Notícias de dispositivos móveis, gadgets, aplicativos Android

Spyware comercial PREDATOR ‚Äď fornecido por meio de explora√ß√£o de clique zero

Um produto comercial de spyware oferecido pela empresa de spyware Intellexa (anteriormente Cytrox) foi descrito pela Cisco Talos.

Ao projetar procedimentos de implantação que frequentemente exigem pouco ou nenhum envolvimento do usuário, os fornecedores de spyware fazem esforços significativos para tornar as cargas finais difíceis de identificar, obter, analisar e defender.

O m√©todo de entrega √© normalmente uma cadeia de explora√ß√Ķes que pode come√ßar com uma explora√ß√£o sem clique, como FORCEDENTRY, que √© produzida pela empresa israelense de spyware NSO Group, ou com um link no qual a v√≠tima √© enganada a clicar (ou seja, um ‚Äúum -click‚ÄĚ exploit) como o desenvolvido pela empresa de vigil√Ęncia Cytrox para implantar seu spyware conhecido como ‚ÄúPREDATOR‚ÄĚ.

PREDATOR é um spyware mercenário intrigante que existe desde pelo menos 2019.

Foi criado para ser flexível para que novos módulos baseados em Python pudessem ser fornecidos sem exploração recorrente, tornando-o muito versátil e arriscado.

Foi determinado que ele utiliza para interagir com outro componente de spyware que foi implantado junto com ele e √© conhecido como ‚ÄúALIEN‚ÄĚ.

As duas partes permitem que o sistema operacional Android contorne medidas de segurança mais estabelecidas.

‚ÄúUm mergulho profundo em ambos os componentes de spyware indica que o Alien √© mais do que apenas um carregador para o Predator e configura ativamente os recursos de baixo n√≠vel necess√°rios para que o Predator espione suas v√≠timas‚ÄĚ, Cisco Talos disse.

Spyware Est√°gios de Ataque

Como a maioria das ferramentas de spyware que surgiram recentemente, os produtos de spyware da Intellexa possuem uma variedade de partes que podem ser categorizadas em três categorias principais que correspondem aos vários estágios do ataque:

Nas cadeias de explora√ß√£o, os dois primeiros, explora√ß√£o e escalonamento de privil√©gios, come√ßam aproveitando uma vulnerabilidade remota para obter privil√©gios de execu√ß√£o remota de c√≥digo (RCE), depois passam para a mitiga√ß√£o, evas√£o e escalonamento de privil√©gios ‚Äď uma vez que os processos vulner√°veis ‚Äč‚Äčs√£o frequentemente menos privilegiados ‚Äď para completar o ataque.

N√≥s recomendamos:  O Samsung Galaxy Bot√Ķes + terra na It√°lia por 169 euros

‚ÄúEmbora ALIEN e PREDATOR possam ser usados ‚Äč‚Äčem dispositivos m√≥veis Android e iOS, as amostras que analisamos foram projetadas especificamente para Android‚ÄĚ, explicou Talos.

‚ÄúPara escalonamento de privil√©gios, o spyware √© configurado para usar um m√©todo chamado QUAILEGGS ou, se QUAILEGGS n√£o estiver presente, usar√° um m√©todo diferente chamado ‚Äúkmem‚ÄĚ. As amostras que analisamos estavam rodando QUAILEGGS.‚ÄĚ

Cisco Talos prop√īs que o Tcore poderia ter usado recursos adicionais, incluindo acesso √† c√Ęmera, rastreamento de geolocaliza√ß√£o e simula√ß√£o de desligamento, para espionar discretamente as v√≠timas.

√Č determinado que a funcionalidade essencial do spyware est√° inclu√≠da no pacote Tcore Python. O c√≥digo nativo de ALIEN e PREDATOR foi analisado e os resultados mostram que o spyware pode gravar √°udio de VOIPaplicativos baseados em aplicativos e chamadas telef√īnicas.

Além disso, pode coletar dados de alguns dos programas mais utilizados, incluindo Signal, WhatsApp e Telegram. Devido à funcionalidade periférica, os aplicativos podem ficar ocultos e não podem ser executados quando um dispositivo é reinicializado.

De acordo com a avaliação, o KMEM oferece acesso arbitrário de leitura e gravação ao espaço de endereço do kernel.

‚ÄúAlien n√£o √© apenas um carregador, mas tamb√©m um executor ‚Äď seus m√ļltiplos threads continuar√£o lendo comandos vindos do Predator e executando-os, fornecendo ao spyware os meios para contornar alguns dos recursos de seguran√ßa da estrutura do Android‚ÄĚ, disse a empresa.

Quando combinados, esses componentes oferecem uma variedade de recursos de roubo de informa√ß√Ķes, vigil√Ęncia e acesso remoto.

O Talos n√£o tem acesso a todos os aspectos do spyware. Portanto, esta lista de capacidades n√£o pretende ser abrangente.

Se o spyware for executado em um aparelho Samsung, Huawei, Oppo ou Xiaomi, ele tamb√©m poder√° adicionar certificados √† loja e enumerar o conte√ļdo de v√°rios diret√≥rios no disco.

N√≥s recomendamos:  Asus atualiza laptops das s√©ries ROG Strix e TUF com processadores Intel Core s√©rie H de 12¬™ gera√ß√£o

O spyware vem como um binário ELF antes de criar um ambiente de execução Python.

Ele enumerar√° recursivamente o conte√ļdo dos seguintes diret√≥rios de disco se algum dos nomes desses fabricantes corresponder:

Pensamentos finais

A maior parte do spyware comercial é feita para uso governamental, e empresas como o Grupo NSO promovem seus produtos como parte de uma tecnologia que auxilia na prevenção do terrorismo, na investigação criminal e no aprimoramento da segurança nacional.

No entanto, nos √ļltimos anos, surgiram preocupa√ß√Ķes √©ticas e legais em torno destes dispositivos de espionagem, que a comunidade de seguran√ßa tem referido como ‚Äúspyware mercen√°rio‚ÄĚ.

A administra√ß√£o Biden-Harris emitiu uma Ordem Executiva em 27 de mar√ßo de 2023, que pro√≠be o uso pelo governo dos EUA de spyware comercial que possa p√īr em perigo a seguran√ßa nacional ou que tenha sido explorado por partes estrangeiras para permitir abusos dos direitos humanos em resposta √† r√°pida prolifera√ß√£o e preocupa√ß√£o crescente com o uso indevido desses produtos.

Table of Contents