O spyware Predator, desenvolvido pela Intellexa, consegue ocultar os indicadores de gravação do iOS enquanto transmite secretamente o feed da câmera e do microfone para seus operadores.
Esse malware não explora nenhuma vulnerabilidade do iOS, mas utiliza um acesso ao kernel previamente obtido para interceptar os sinais do sistema que normalmente alertariam o usuário sobre a atividade de vigilância.
Desde o iOS 14, a Apple exibe indicadores na barra de status — um ponto verde para a câmera e outro laranja para o microfone — para informar quando esses sensores estão ativos.
A Intellexa, empresa de vigilância sancionada pelos Estados Unidos, desenvolveu o spyware comercial Predator e o utilizou em ataques que exploraram falhas zero-day tanto no iOS quanto no Chrome, incluindo vetores de infecção zero-click, que não exigem qualquer interação do usuário para comprometer o dispositivo.
Embora já se soubesse que o Predator era capaz de suprimir os indicadores de câmera e microfone, até então não estava claro como esse truque era realizado.
Pesquisadores da Jamf, empresa especializada em gerenciamento de dispositivos móveis, analisaram amostras do Predator e documentaram o processo de ocultação dos indicadores de privacidade.
De acordo com a Jamf, o Predator utiliza um único hook (função de interceptação) chamado 'HiddenDot::setupHook()' dentro do SpringBoard, sistema responsável pela interface do iOS, ativando-o sempre que há mudança na atividade dos sensores — como quando a câmera ou microfone são acionados.
Ao interceptar essa função, o spyware impede que as atualizações sobre a atividade dos sensores cheguem à camada de interface do usuário, fazendo com que os pontos verde ou laranja jamais apareçam na tela.
A equipe explica: “O método alvo _handleNewDomainData: é chamado pelo iOS sempre que a atividade dos sensores muda.
Ao hookear esse método, o Predator intercepta todas as atualizações antes que elas alcancem o sistema de exibição dos indicadores.”
Esse hook anula o objeto responsável por repassar as atualizações dos sensores (SBSensorActivityDataProvider no SpringBoard).
No Objective-C, chamadas a objetos nulos são ignoradas silenciosamente, o que bloqueia o processamento da ativação da câmera ou microfone e, consequentemente, a exibição dos indicadores.
Como o SBSensorActivityDataProvider agrega todas as atividades dos sensores, esse único hook desativa tanto o indicador da câmera quanto o do microfone.
Os pesquisadores também encontraram um “código morto” que tentava hookear diretamente o 'SBRecordingIndicatorManager', mas ele não é executado e provavelmente corresponde a uma abordagem inicial abandonada em favor do método mais eficiente, que intercepta os dados dos sensores mais cedo no processo.
No caso de gravações VoIP, também suportadas pelo Predator, o módulo responsável não possui mecanismo para suprimir indicadores, dependendo, portanto, da função HiddenDot para evitar detecção.
A Jamf detalha ainda que o acesso à câmera é viabilizado por um módulo separado, que localiza funções internas da câmera por meio de correspondência de padrões de instruções ARM64 e redirecionamento via Pointer Authentication Code (PAC), burlando as verificações de permissão.
Sem os indicadores visuais na barra de status, a operação do spyware permanece totalmente oculta para o usuário comum.
A análise técnica também revelou sinais da atividade maliciosa, como mapeamentos de memória inesperados, exceções nos processos SpringBoard e mediaserverd, hooks baseados em breakpoints e arquivos de áudio gerados pelo mediaserverd em caminhos incomuns.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...