Especialistas detalham modelo de licenciamento de milhões de dólares do Spyware Predator
22 de Dezembro de 2023

Uma nova análise do sofisticado spyware comercial chamado Predator revelou que sua capacidade de persistir entre reinicializações é oferecida como um "recurso adicional" e que depende das opções de licenciamento escolhidas por um cliente.

"Em 2021, o spyware Predator não conseguia sobreviver a uma reinicialização no sistema Android infectado (ele possuía isso no iOS)", disseram os pesquisadores da Cisco Talos Mike Gentile, Asheer Malhotra e Vitor Ventura em um relatório compartilhado com o The Hacker News.

"No entanto, em abril de 2022, essa capacidade estava sendo oferecida aos seus clientes."

Predator é o produto de um consórcio chamado Intellexa Alliance, que inclui Cytrox (posteriormente adquirida pela WiSpear), Nexa Technologies e Senpai Technologies.

Tanto a Cytrox quanto a Intellexa foram adicionadas à Lista de Entidades pelo EUA em julho de 2023 por "tráfico em explorações cibernéticas usadas para acessar sistemas de informações".

As últimas descobertas ocorrem mais de seis meses depois que o fornecedor de cibersegurança detalhou o funcionamento interno do Predator e sua equação harmoniosa com outro componente chamado Alien.

"O Alien é crucial para o funcionamento bem-sucedido do Predator, incluindo os componentes adicionais carregados pelo Predator sob demanda", disse Malhotra ao The Hacker News na época.

"A relação entre Alien e Predator é extremamente simbiótica, exigindo que eles trabalhem continuamente em conjunto para espionar as vítimas."

Predator, que pode atingir tanto Android quanto iOS, foi descrito como um "sistema de extração móvel remoto" que é vendido em um modelo de licenciamento que chega a milhões de dólares com base na exploração usada para acesso inicial e no número de infecções simultâneas, colocando-os fora do alcance de novatos criminosos.

Spywares como o Predator e Pegasus, que é desenvolvido pelo NSO Group, muitas vezes dependem de cadeias de explorações zero-day em Android, iOS e navegadores web como vetores de intrusão furtiva.

Mas à medida que a Apple e o Google continuam a fechar as brechas de segurança, essas cadeias de exploração podem se tornar ineficazes, forçando-os a voltar à prancheta.

No entanto, vale a pena notar que as empresas por trás das ferramentas de vigilância mercenária também podem adquirir cadeias de exploração completas ou parciais de corretores de exploração e transformá-las em uma exploração operacional que pode ser empregada para violar efetivamente dispositivos alvo.

Outro aspecto chave do modelo de negócios da Intellexa é que externaliza o trabalho de configuração da infraestrutura de ataque para os próprios clientes, deixando-a com espaço para negação plausível caso as campanhas venham à luz (como inevitavelmente acontece).

"A entrega do hardware de suporte da Intellexa é feita em um terminal ou aeroporto", disseram os pesquisadores.

"Este método de entrega é conhecido como Cost Insurance and Freight (CIF), que faz parte do jargão da indústria de transporte ('Incoterms').

Este mecanismo permite que a Intellexa afirme que eles não têm visibilidade de onde os sistemas são implementados e eventualmente localizados."

Além disso, a Intellexa possui "conhecimento em primeira mão" de se seus clientes estão realizando operações de vigilância fora de suas próprias fronteiras devido ao fato de que as operações estão intrinsecamente ligadas à licença, que, por padrão, está restrita a um único prefixo de código de país de telefone.

Essa limitação geográfica, no entanto, pode ser afrouxada por uma taxa adicional.

O Cisco Talos observou que, embora a exposição pública de atores ofensivos do setor privado e suas campanhas tenha sido bem-sucedida nos esforços de atribuição, teve pouco impacto em sua capacidade de conduzir e expandir seus negócios ao redor do mundo, mesmo que possa afetar seus clientes, como governos.

"Pode aumentar os custos ao fazer com que eles comprem ou criem novas cadeias de exploração, mas esses fornecedores parecem ter adquirido novas cadeias de exploração sem problemas, permitindo que permaneçam nos negócios pulando de um conjunto de explorações para outro como meio de acesso inicial", disseram os pesquisadores.

"O que é necessário é a divulgação pública de análises técnicas do spyware móvel e amostras tangíveis que permitam o escrutínio público do malware.

Tais divulgações públicas não apenas possibilitarão análises mais amplas e esforços de detecção, mas também imporão custos de desenvolvimento aos fornecedores para que evoluam constantemente seus implantes."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...