Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 23 Giugno 2023 08:06
I team di ricerca di Cisco Talos e Citizen Lab hanno pubblicato un’analisi tecnica di uno spyware Android commerciale chiamato “Predator” e del suo downloader “Alien“.
Predator è uno spyware commerciale per piattaforme mobili (iOS e Android) associato a operazioni di spionaggio verso attivisti, dissidenti politici e giornalisti e alti dirigenti di aziende tecnologiche.
Predator può registrare le telefonate, raccogliere informazioni dai messenger o persino nascondere app e impedirne l’esecuzione su dispositivi Android infetti.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Nel maggio 2022, il team di Google TAG ha esposto 5 vulnerabilità in Android che Predator ha utilizzato per eseguire lo shellcode e installare il bootloader Alien sul dispositivo di destinazione.
Alien si inserisce nel processo principale di Android chiamato “zygote64“, quindi scarica e attiva componenti spyware aggiuntivi in base alla configurazione integrata. Alien ottiene il componente Predator da un indirizzo esterno e lo esegue sul dispositivo oppure aggiorna un modulo esistente a una versione più recente, se disponibile.
Successivamente, Alien continua a funzionare sul dispositivo, fornendo comunicazioni segrete tra i componenti spyware, nascondendoli all’interno di processi di sistema legittimi e ricevendo comandi da Predator per l’esecuzione, aggirando la protezione di Android (SELinux).
Bypassare SELinux è una caratteristica chiave dello spyware che lo distingue dagli infostealer e dai trojan venduti su Telegram venduti per 150-300 dollari al mese.
Cisco spiega che Alien aggira la sicurezza abusando dei contesti SELinux, che determinano quali utenti e quale livello di informazioni è consentito per ogni processo e oggetto nel sistema, rimuovendo le restrizioni esistenti.
Inoltre, Alien ascolta i comandi “ioctl” (input/output) per la comunicazione interna tra componenti spyware, che SELinux non controlla. Alien memorizza anche dati e record rubati in uno spazio di memoria condiviso, quindi li sposta nell’archivio, caricandoli infine tramite Predator. Questo processo non causa violazioni di accesso e non viene rilevato da SELinux.
Predator è un modulo spyware di base che arriva al dispositivo come file ELF e crea un ambiente di runtime Python per fornire varie funzioni di spionaggio.
La funzionalità Predator include:
In particolare, Predator verifica se funziona su Samsung, Huawei, Oppo o Xiaomi. In caso affermativo, il malware elenca in modo ricorsivo i contenuti delle directory che memorizzano i dati degli utenti da applicazioni di posta elettronica, messaggistica istantanea, social network e browser. Predator fornisce anche l’elenco dei contatti della vittima e i file sensibili nelle cartelle multimediali dell’utente, inclusi audio, immagini e video.
Predator esegue anche lo spoofing dei certificati per installare i certificati utente nelle attuali CA attendibili degli utenti. Ciò consente a Predator di condurre attacchi MiTM man-in-the-middle e spiare il traffico di rete crittografato con TLS.
Cisco osserva che Predator utilizza questa funzione con cautela. Il malware non installa certificati a livello di sistema, in quanto ciò può interferire con il funzionamento del dispositivo e attirare l’attenzione dell’utente.
Nonostante questa analisi approfondita dei componenti dello spyware, i ricercatori non conoscono i dettagli di due moduli: “tcore” (il componente principale) e “kmem” (meccanismo di escalation dei privilegi). Entrambi vengono caricati nel runtime Python Predator.
Gli analisti ritengono che “tcore” tenga traccia della geolocalizzazione del bersaglio, scatti foto dalla fotocamera o simuli lo spegnimento del dispositivo. A sua volta, “kmem” fornisce accesso casuale in lettura e scrittura allo spazio del kernel.
Poiché i moduli non possono essere estratti dai dispositivi infetti, parti dello spyware Predator rimangono ancora inesplorate.
Predator è stato sviluppato da Cytrox, che ha sede nella Macedonia del Nord e vende spyware commerciale e altri strumenti di sorveglianza. Cytrox è anche dietro un altro spyware chiamato Hermit che è stato utilizzato per hackerare gli smartphone di giornalisti e attivisti in India.
Predator non è l’unico spyware utilizzato per prendere di mira gli utenti ad alto rischio. Un altro esempio è Pegasus, sviluppato dalla società israeliana NSO Group. Pegasus può anche hackerare e tracciare smartphone Android e iOS. Pegasus è stato utilizzato per spiare giornalisti, attivisti per i diritti umani, politici e uomini d’affari in tutto il mondo.
Apple, uno dei produttori di smartphone presi di mira dagli attacchi Predator e Pegasus, ha lanciato una nuova funzionalità di sicurezza chiamata “Modalità di blocco” in iOS 16, iPadOS 16 e macOS Ventura. Questa funzione blocca alcune funzionalità per fornire la massima protezione contro “attacchi informatici mirati”.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
