Pesquisadores de segurança da Cisco Talos e do Citizen Lab apresentaram uma nova análise técnica do spyware comercial para Android "Predator" e seu loader "Alien", compartilhando suas capacidades de roubo de dados e outros detalhes operacionais.
O Predator é um spyware comercial para plataformas móveis (iOS e Android) desenvolvido e vendido pela empresa israelense Intellexa.
A família de spyware foi relacionada a operações de vigilância direcionadas a jornalistas, políticos europeus de alto perfil e até mesmo executivos da Meta.
O spyware pode gravar chamadas telefônicas, coletar informações de aplicativos de mensagens ou até mesmo ocultar aplicativos e impedir sua execução em dispositivos Android infectados.
Em maio de 2022, o Google TAG revelou cinco vulnerabilidades zero-day do Android que o spyware Predator usou para executar shellcode e baixar o loader Alien em um dispositivo-alvo.
O loader Alien é injetado em um processo central do Android chamado "zygote64" e, em seguida, baixa e ativa componentes adicionais do spyware com base em uma configuração codificada.
O Alien busca o componente Predator de um endereço externo e o lança no dispositivo ou atualiza o payload existente com uma versão mais recente, se disponível.
Depois disso, o Alien continua a operar no dispositivo, facilitando comunicações discretas entre os componentes do spyware, escondendo-os dentro de processos legítimos do sistema e recebendo comandos do Predator para executar enquanto contorna a segurança do Android (SELinux).
O contorno do SELinux é uma função crucial do spyware, diferenciando-o de ladrões de informações e cavalos de Troia vendidos por US$ 150-300 por mês no Telegram.
A Cisco explica que o Alien alcança isso abusando dos contextos do SELinux que determinam quais usuários e qual nível de informação é permitido em cada processo e objeto no sistema, levantando restrições existentes.
Além disso, o Alien ouve comandos "ioctl" (controle de entrada/saída) para as comunicações internas do spyware, que o SELinux não inspeciona.
Finalmente, o Alien salva dados roubados e gravações em um espaço de memória compartilhado, em seguida, move-o para o armazenamento, eventualmente exfiltrando-o através do Predator.
Esse processo não gera violações de acesso e passa despercebido pelo SELinux.
O Predator é o módulo principal do spyware, chegando ao dispositivo como um arquivo ELF e configurando um ambiente de tempo de execução Python para facilitar as diversas funcionalidades de espionagem.
A quantidade de registro realizada no dispositivo comprometido muda dependendo se o implante do Predator é uma versão de desenvolvimento ou estável.
As funcionalidades facilitadas pelos módulos Python do Predator, e realizadas em conjunto com o Alien, incluem execução de código arbitrário, gravação de áudio, envenenamento de certificados, ocultação de aplicativos, prevenção de execução de aplicativos (após reinicialização) e enumeração de diretórios.
O loader do spyware, Alien, verifica se está sendo executado em um Samsung, Huawei, Oppo ou Xiaomi e, se houver correspondência, enumera recursivamente o conteúdo de diretórios que contêm dados do usuário em aplicativos de e-mail, mensagens, mídias sociais e navegadores.
Ele também enumera a lista de contatos da vítima e lista arquivos privados nas pastas de mídia do usuário, incluindo áudio, imagens e vídeo.
O spyware também usa envenenamento de certificados para instalar certificados personalizados nas autoridades de certificação confiáveis do usuário atual, permitindo que o Predator conduza ataques man-in-the-middle e espie a comunicação de rede criptografada por TLS.
A Cisco comenta que o Predator é cuidadoso com essa habilidade, não instalando os certificados no nível do sistema para evitar interferência no nível operacional do dispositivo, o que pode alertar as vítimas de que algo está errado.
"Do ponto de vista do atacante, os riscos superam as recompensas, já que com certificados de nível de usuário, o spyware ainda pode realizar a decodificação TLS em qualquer comunicação dentro do navegador", explicam os pesquisadores.
Embora a Cisco e o Citizen Lab tenham se aprofundado nos componentes do spyware, os pesquisadores ainda estão faltando detalhes sobre dois módulos, a saber, 'tcore' e 'kmem', ambos carregados no ambiente de tempo de execução Python do Predator.
"Avaliamos com alta confiança que o spyware tem dois componentes adicionais - tcore (componente principal) e kmem (mecânico de escalonamento de privilégios) -, mas não conseguimos obter e analisar esses módulos", explica o relatório da Cisco.
Os analistas acreditam que o tcore realiza o rastreamento de geolocalização, capturando imagens da câmera ou simulando o desligamento do dispositivo.
A hipótese da Cisco para o módulo kmem é que ele fornece acesso de leitura e gravação arbitrário ao espaço de endereço do kernel.
Como nenhum dos módulos pôde ser recuperado de dispositivos infectados, partes do spyware Predator da Intellexa permanecem inexploradas.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...