Predator: Analisando o spyware Android da Intellexa
26 de Maio de 2023

Pesquisadores de segurança da Cisco Talos e do Citizen Lab apresentaram uma nova análise técnica do spyware comercial para Android "Predator" e seu loader "Alien", compartilhando suas capacidades de roubo de dados e outros detalhes operacionais.

O Predator é um spyware comercial para plataformas móveis (iOS e Android) desenvolvido e vendido pela empresa israelense Intellexa.

A família de spyware foi relacionada a operações de vigilância direcionadas a jornalistas, políticos europeus de alto perfil e até mesmo executivos da Meta.

O spyware pode gravar chamadas telefônicas, coletar informações de aplicativos de mensagens ou até mesmo ocultar aplicativos e impedir sua execução em dispositivos Android infectados.

Em maio de 2022, o Google TAG revelou cinco vulnerabilidades zero-day do Android que o spyware Predator usou para executar shellcode e baixar o loader Alien em um dispositivo-alvo.

O loader Alien é injetado em um processo central do Android chamado "zygote64" e, em seguida, baixa e ativa componentes adicionais do spyware com base em uma configuração codificada.

O Alien busca o componente Predator de um endereço externo e o lança no dispositivo ou atualiza o payload existente com uma versão mais recente, se disponível.

Depois disso, o Alien continua a operar no dispositivo, facilitando comunicações discretas entre os componentes do spyware, escondendo-os dentro de processos legítimos do sistema e recebendo comandos do Predator para executar enquanto contorna a segurança do Android (SELinux).

O contorno do SELinux é uma função crucial do spyware, diferenciando-o de ladrões de informações e cavalos de Troia vendidos por US$ 150-300 por mês no Telegram.

A Cisco explica que o Alien alcança isso abusando dos contextos do SELinux que determinam quais usuários e qual nível de informação é permitido em cada processo e objeto no sistema, levantando restrições existentes.

Além disso, o Alien ouve comandos "ioctl" (controle de entrada/saída) para as comunicações internas do spyware, que o SELinux não inspeciona.

Finalmente, o Alien salva dados roubados e gravações em um espaço de memória compartilhado, em seguida, move-o para o armazenamento, eventualmente exfiltrando-o através do Predator.

Esse processo não gera violações de acesso e passa despercebido pelo SELinux.

O Predator é o módulo principal do spyware, chegando ao dispositivo como um arquivo ELF e configurando um ambiente de tempo de execução Python para facilitar as diversas funcionalidades de espionagem.

A quantidade de registro realizada no dispositivo comprometido muda dependendo se o implante do Predator é uma versão de desenvolvimento ou estável.

As funcionalidades facilitadas pelos módulos Python do Predator, e realizadas em conjunto com o Alien, incluem execução de código arbitrário, gravação de áudio, envenenamento de certificados, ocultação de aplicativos, prevenção de execução de aplicativos (após reinicialização) e enumeração de diretórios.

O loader do spyware, Alien, verifica se está sendo executado em um Samsung, Huawei, Oppo ou Xiaomi e, se houver correspondência, enumera recursivamente o conteúdo de diretórios que contêm dados do usuário em aplicativos de e-mail, mensagens, mídias sociais e navegadores.

Ele também enumera a lista de contatos da vítima e lista arquivos privados nas pastas de mídia do usuário, incluindo áudio, imagens e vídeo.

O spyware também usa envenenamento de certificados para instalar certificados personalizados nas autoridades de certificação confiáveis do usuário atual, permitindo que o Predator conduza ataques man-in-the-middle e espie a comunicação de rede criptografada por TLS.

A Cisco comenta que o Predator é cuidadoso com essa habilidade, não instalando os certificados no nível do sistema para evitar interferência no nível operacional do dispositivo, o que pode alertar as vítimas de que algo está errado.

"Do ponto de vista do atacante, os riscos superam as recompensas, já que com certificados de nível de usuário, o spyware ainda pode realizar a decodificação TLS em qualquer comunicação dentro do navegador", explicam os pesquisadores.

Embora a Cisco e o Citizen Lab tenham se aprofundado nos componentes do spyware, os pesquisadores ainda estão faltando detalhes sobre dois módulos, a saber, 'tcore' e 'kmem', ambos carregados no ambiente de tempo de execução Python do Predator.

"Avaliamos com alta confiança que o spyware tem dois componentes adicionais - tcore (componente principal) e kmem (mecânico de escalonamento de privilégios) -, mas não conseguimos obter e analisar esses módulos", explica o relatório da Cisco.

Os analistas acreditam que o tcore realiza o rastreamento de geolocalização, capturando imagens da câmera ou simulando o desligamento do dispositivo.

A hipótese da Cisco para o módulo kmem é que ele fornece acesso de leitura e gravação arbitrário ao espaço de endereço do kernel.

Como nenhum dos módulos pôde ser recuperado de dispositivos infectados, partes do spyware Predator da Intellexa permanecem inexploradas.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...