I team di ricerca di Cisco Talos e Citizen Lab hanno pubblicato un’analisi tecnica di uno spyware Android commerciale chiamato “Predator” e del suo downloader “Alien“.
Predator è uno spyware commerciale per piattaforme mobili (iOS e Android) associato a operazioni di spionaggio verso attivisti, dissidenti politici e giornalisti e alti dirigenti di aziende tecnologiche.
Predator può registrare le telefonate, raccogliere informazioni dai messenger o persino nascondere app e impedirne l’esecuzione su dispositivi Android infetti.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Nel maggio 2022, il team di Google TAG ha esposto 5 vulnerabilità in Android che Predator ha utilizzato per eseguire lo shellcode e installare il bootloader Alien sul dispositivo di destinazione.
Alien si inserisce nel processo principale di Android chiamato “zygote64“, quindi scarica e attiva componenti spyware aggiuntivi in base alla configurazione integrata. Alien ottiene il componente Predator da un indirizzo esterno e lo esegue sul dispositivo oppure aggiorna un modulo esistente a una versione più recente, se disponibile.
Successivamente, Alien continua a funzionare sul dispositivo, fornendo comunicazioni segrete tra i componenti spyware, nascondendoli all’interno di processi di sistema legittimi e ricevendo comandi da Predator per l’esecuzione, aggirando la protezione di Android (SELinux).
Bypassare SELinux è una caratteristica chiave dello spyware che lo distingue dagli infostealer e dai trojan venduti su Telegram venduti per 150-300 dollari al mese.
Cisco spiega che Alien aggira la sicurezza abusando dei contesti SELinux, che determinano quali utenti e quale livello di informazioni è consentito per ogni processo e oggetto nel sistema, rimuovendo le restrizioni esistenti.
Inoltre, Alien ascolta i comandi “ioctl” (input/output) per la comunicazione interna tra componenti spyware, che SELinux non controlla. Alien memorizza anche dati e record rubati in uno spazio di memoria condiviso, quindi li sposta nell’archivio, caricandoli infine tramite Predator. Questo processo non causa violazioni di accesso e non viene rilevato da SELinux.
Predator è un modulo spyware di base che arriva al dispositivo come file ELF e crea un ambiente di runtime Python per fornire varie funzioni di spionaggio.
La funzionalità Predator include:
In particolare, Predator verifica se funziona su Samsung, Huawei, Oppo o Xiaomi. In caso affermativo, il malware elenca in modo ricorsivo i contenuti delle directory che memorizzano i dati degli utenti da applicazioni di posta elettronica, messaggistica istantanea, social network e browser. Predator fornisce anche l’elenco dei contatti della vittima e i file sensibili nelle cartelle multimediali dell’utente, inclusi audio, immagini e video.
Predator esegue anche lo spoofing dei certificati per installare i certificati utente nelle attuali CA attendibili degli utenti. Ciò consente a Predator di condurre attacchi MiTM man-in-the-middle e spiare il traffico di rete crittografato con TLS.
Cisco osserva che Predator utilizza questa funzione con cautela. Il malware non installa certificati a livello di sistema, in quanto ciò può interferire con il funzionamento del dispositivo e attirare l’attenzione dell’utente.
Nonostante questa analisi approfondita dei componenti dello spyware, i ricercatori non conoscono i dettagli di due moduli: “tcore” (il componente principale) e “kmem” (meccanismo di escalation dei privilegi). Entrambi vengono caricati nel runtime Python Predator.
Gli analisti ritengono che “tcore” tenga traccia della geolocalizzazione del bersaglio, scatti foto dalla fotocamera o simuli lo spegnimento del dispositivo. A sua volta, “kmem” fornisce accesso casuale in lettura e scrittura allo spazio del kernel.
Poiché i moduli non possono essere estratti dai dispositivi infetti, parti dello spyware Predator rimangono ancora inesplorate.
Predator è stato sviluppato da Cytrox, che ha sede nella Macedonia del Nord e vende spyware commerciale e altri strumenti di sorveglianza. Cytrox è anche dietro un altro spyware chiamato Hermit che è stato utilizzato per hackerare gli smartphone di giornalisti e attivisti in India.
Predator non è l’unico spyware utilizzato per prendere di mira gli utenti ad alto rischio. Un altro esempio è Pegasus, sviluppato dalla società israeliana NSO Group. Pegasus può anche hackerare e tracciare smartphone Android e iOS. Pegasus è stato utilizzato per spiare giornalisti, attivisti per i diritti umani, politici e uomini d’affari in tutto il mondo.
Apple, uno dei produttori di smartphone presi di mira dagli attacchi Predator e Pegasus, ha lanciato una nuova funzionalità di sicurezza chiamata “Modalità di blocco” in iOS 16, iPadOS 16 e macOS Ventura. Questa funzione blocca alcune funzionalità per fornire la massima protezione contro “attacchi informatici mirati”.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Vulnerabilità
Innovazione
Cyberpolitica
Cultura
Vulnerabilità