Predator: Analisando o spyware Android da Intellexa
26 de Maio de 2023

Pesquisadores de segurança da Cisco Talos e do Citizen Lab apresentaram uma nova análise técnica do spyware comercial para Android "Predator" e seu loader "Alien", compartilhando suas capacidades de roubo de dados e outros detalhes operacionais.

O Predator é um spyware comercial para plataformas móveis (iOS e Android) desenvolvido e vendido pela empresa israelense Intellexa.

A família de spyware foi relacionada a operações de vigilância direcionadas a jornalistas, políticos europeus de alto perfil e até mesmo executivos da Meta.

O spyware pode gravar chamadas telefônicas, coletar informações de aplicativos de mensagens ou até mesmo ocultar aplicativos e impedir sua execução em dispositivos Android infectados.

Em maio de 2022, o Google TAG revelou cinco vulnerabilidades zero-day do Android que o spyware Predator usou para executar shellcode e baixar o loader Alien em um dispositivo-alvo.

O loader Alien é injetado em um processo central do Android chamado "zygote64" e, em seguida, baixa e ativa componentes adicionais do spyware com base em uma configuração codificada.

O Alien busca o componente Predator de um endereço externo e o lança no dispositivo ou atualiza o payload existente com uma versão mais recente, se disponível.

Depois disso, o Alien continua a operar no dispositivo, facilitando comunicações discretas entre os componentes do spyware, escondendo-os dentro de processos legítimos do sistema e recebendo comandos do Predator para executar enquanto contorna a segurança do Android (SELinux).

O contorno do SELinux é uma função crucial do spyware, diferenciando-o de ladrões de informações e cavalos de Troia vendidos por US$ 150-300 por mês no Telegram.

A Cisco explica que o Alien alcança isso abusando dos contextos do SELinux que determinam quais usuários e qual nível de informação é permitido em cada processo e objeto no sistema, levantando restrições existentes.

Além disso, o Alien ouve comandos "ioctl" (controle de entrada/saída) para as comunicações internas do spyware, que o SELinux não inspeciona.

Finalmente, o Alien salva dados roubados e gravações em um espaço de memória compartilhado, em seguida, move-o para o armazenamento, eventualmente exfiltrando-o através do Predator.

Esse processo não gera violações de acesso e passa despercebido pelo SELinux.

O Predator é o módulo principal do spyware, chegando ao dispositivo como um arquivo ELF e configurando um ambiente de tempo de execução Python para facilitar as diversas funcionalidades de espionagem.

A quantidade de registro realizada no dispositivo comprometido muda dependendo se o implante do Predator é uma versão de desenvolvimento ou estável.

As funcionalidades facilitadas pelos módulos Python do Predator, e realizadas em conjunto com o Alien, incluem execução de código arbitrário, gravação de áudio, envenenamento de certificados, ocultação de aplicativos, prevenção de execução de aplicativos (após reinicialização) e enumeração de diretórios.

O loader do spyware, Alien, verifica se está sendo executado em um Samsung, Huawei, Oppo ou Xiaomi e, se houver correspondência, enumera recursivamente o conteúdo de diretórios que contêm dados do usuário em aplicativos de e-mail, mensagens, mídias sociais e navegadores.

Ele também enumera a lista de contatos da vítima e lista arquivos privados nas pastas de mídia do usuário, incluindo áudio, imagens e vídeo.

O spyware também usa envenenamento de certificados para instalar certificados personalizados nas autoridades de certificação confiáveis do usuário atual, permitindo que o Predator conduza ataques man-in-the-middle e espie a comunicação de rede criptografada por TLS.

A Cisco comenta que o Predator é cuidadoso com essa habilidade, não instalando os certificados no nível do sistema para evitar interferência no nível operacional do dispositivo, o que pode alertar as vítimas de que algo está errado.

"Do ponto de vista do atacante, os riscos superam as recompensas, já que com certificados de nível de usuário, o spyware ainda pode realizar a decodificação TLS em qualquer comunicação dentro do navegador", explicam os pesquisadores.

Embora a Cisco e o Citizen Lab tenham se aprofundado nos componentes do spyware, os pesquisadores ainda estão faltando detalhes sobre dois módulos, a saber, 'tcore' e 'kmem', ambos carregados no ambiente de tempo de execução Python do Predator.

"Avaliamos com alta confiança que o spyware tem dois componentes adicionais - tcore (componente principal) e kmem (mecânico de escalonamento de privilégios) -, mas não conseguimos obter e analisar esses módulos", explica o relatório da Cisco.

Os analistas acreditam que o tcore realiza o rastreamento de geolocalização, capturando imagens da câmera ou simulando o desligamento do dispositivo.

A hipótese da Cisco para o módulo kmem é que ele fornece acesso de leitura e gravação arbitrário ao espaço de endereço do kernel.

Como nenhum dos módulos pôde ser recuperado de dispositivos infectados, partes do spyware Predator da Intellexa permanecem inexploradas.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...