A empresa de vigilância Intellexa vem utilizando um sofisticado spyware chamado Predator, que emprega um mecanismo de infecção zero-click denominado “Aladdin”.
Esse método compromete alvos específicos simplesmente ao exibir um anúncio malicioso, sem necessidade de interação do usuário.
Essa forma de ataque, até então desconhecida, está oculta por trás de uma rede complexa de empresas fictícias distribuídas por diversos países.
A revelação foi feita por uma investigação conjunta conduzida por Inside Story, Haaretz e WAV Research Collective.
A apuração se baseia no “Intellexa Leaks”, um conjunto de documentos internos e materiais de marketing vazados, corroborados por análises técnicas de especialistas em segurança e perícia forense da Anistia Internacional, Google e Recorded Future.
Implementado pela primeira vez em 2024 e ainda ativo e em desenvolvimento, o Aladdin utiliza o sistema comercial de publicidade móvel para distribuir malware.
O funcionamento consiste em direcionar anúncios maliciosos exclusivamente para alvos específicos, identificados por seu endereço IP público e outros dados.
Por meio da Demand Side Platform (DSP), essas plataformas de publicidade exibem os anúncios comprometidos em qualquer site que participe da rede.
Especialistas do Security Lab da Anistia Internacional explicam que “esse anúncio malicioso pode ser exibido em qualquer site que apresente publicidade, como portais de notícias confiáveis ou aplicativos móveis, parecendo um anúncio comum que o usuário normalmente veria.”
Além disso, “material interno da empresa revela que apenas visualizar o anúncio é suficiente para que o dispositivo seja infectado, sem necessidade de qualquer clique.”
Embora detalhes sobre o funcionamento interno da infecção não estejam disponíveis, o Google informa que os anúncios levam a redirecionamentos para servidores da Intellexa, responsáveis pela entrega dos exploits.
Esses anúncios são veiculados por uma complexa rede de empresas publicitárias espalhadas por países como Irlanda, Alemanha, Suíça, Grécia, Chipre, Emirados Árabes Unidos e Hungria.
A equipe da Recorded Future aprofundou a investigação, conectando pessoas-chave, empresas e infraestruturas envolvidas, e identificou algumas dessas companhias no relatório.
Defender-se contra esses anúncios maliciosos é um desafio, mas bloquear anúncios no navegador é um ponto de partida recomendado.
Outra medida possível é configurar o navegador para ocultar o endereço IP público dos rastreadores.
No entanto, os documentos vazados revelam que a Intellexa ainda consegue acessar essas informações por meio de operadoras móveis locais no país do cliente.
Outro dado importante do vazamento confirma a existência de um mecanismo de entrega adicional chamado “Triton”, capaz de explorar dispositivos Samsung Exynos via baseband exploits, forçando o downgrade para a rede 2G como estratégia para viabilizar a infecção.
Analistas da Anistia Internacional não têm certeza se o “Triton” ainda está em uso e mencionam outros dois métodos possivelmente semelhantes, com os codinomes “Thor” e “Oberon”, que podem envolver ataques via comunicações por rádio ou acesso físico ao aparelho.
Pesquisadores do Google apontam a Intellexa como um dos maiores fornecedores comerciais de spyware que utilizam exploits zero-day, sendo responsável por 15 dos 70 casos documentados desde 2021 pelo seu Threat Analysis Group (TAG).
Segundo o Google, a Intellexa desenvolve seus próprios exploits e também compra cadeias de exploração de terceiros para cobrir todo o espectro de alvos.
Apesar das sanções e investigações em andamento contra a Intellexa na Grécia, a empresa permanece altamente ativa, conforme alertam especialistas da Anistia Internacional.
Com a evolução do Predator, que se torna cada vez mais discreto e difícil de rastrear, os usuários são aconselhados a ativar proteções adicionais em seus dispositivos móveis, como o Advanced Protection no Android e o Lockdown Mode no iOS.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...