.
O malware de smartphone vendido a governos de todo o mundo pode gravar sub-repticiamente chamadas de voz e áudio próximo, coletar dados de aplicativos como Signal e WhatsApp e ocultar aplicativos ou impedir que sejam executados após a reinicialização do dispositivo, descobriram pesquisadores da equipe de segurança Talos da Cisco.
Uma análise publicada pela Talos na quinta-feira fornece a visão mais detalhada do Predator, um spyware avançado que pode ser usado contra dispositivos móveis Android e iOS. O Predator é desenvolvido pela Cytrox, uma empresa que o Citizen Lab disse fazer parte de uma aliança chamada Intellexa, “um rótulo de marketing para uma variedade de fornecedores de vigilância mercenários que surgiram em 2019”. Outras empresas pertencentes ao consórcio incluem Nexa Technologies (anteriormente Amesys), WiSpear/Passitora Ltd. e Senpai.
No ano passado, pesquisadores do Grupo de Análise de Ameaças do Google, que rastreia ataques cibernéticos realizados ou financiados por estados-nação, relataram que o Predator havia reunido cinco explorações de dia zero separadas em um único pacote e vendido a vários agentes apoiados pelo governo. Esses compradores passaram a utilizar o pacote em três campanhas distintas. Os pesquisadores disseram que o Predator trabalhou em estreita colaboração com um componente conhecido como Alien, que “vive dentro de vários processos privilegiados e recebe comandos do Predator”. Os comandos incluíam gravação de áudio, adição de certificados digitais e ocultação de aplicativos.
O Citizen Lab, por sua vez, disse que o Predator é vendido para uma ampla gama de atores governamentais de países como Armênia, Egito, Grécia, Indonésia, Madagascar, Omã, Arábia Saudita e Sérvia. O Citizen Lab continuou dizendo que o Predator foi usado para atingir Ayman Nour, um membro da oposição política egípcia que vive exilado na Turquia e um jornalista egípcio exilado que apresenta um programa de notícias popular e deseja permanecer anônimo.
Desconhecido até agora
A maior parte do funcionamento interno do Predator era desconhecida anteriormente. Isso mudou agora que o Talos obteve partes importantes do malware escrito para dispositivos Android.
De acordo com Talos, a espinha dorsal do malware consiste em Predator e Alien. Ao contrário do que se pensava anteriormente, Alien é mais do que um mero loader do Predator. Em vez disso, ele implementa ativamente os recursos de baixo nível que o Predator precisa para vigiar suas vítimas.
“Novas análises do Talos revelaram o funcionamento interno do PREDATOR e os mecanismos que ele usa para se comunicar com outro componente de spyware implantado junto com ele, conhecido como ‘ALIEN’”, afirmou o post de quinta-feira. “Ambos os componentes trabalham juntos para contornar os recursos de segurança tradicionais no sistema operacional Android. Nossas descobertas revelam a extensão do entrelaçamento de capacidades entre o PREDATOR e o ALIEN, provando que o ALIEN é muito mais do que apenas um carregador para o PREDATOR como se pensava anteriormente.”
Na amostra analisada pelo Talos, o Alien se apoderou dos dispositivos-alvo explorando cinco vulnerabilidades – CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003, CVE-2021-1048 – as quatro primeiras dos quais afetou o Google Chrome e o último Linux e Android.
Alien e Predator trabalham lado a lado para contornar as restrições no modelo de segurança do Android, principalmente aquelas impostas por uma proteção conhecida como SELinux. Entre outras coisas, o SELinux no Android protege de perto o acesso à maioria dos soquetes, que servem como canais de comunicação entre vários processos em execução e são frequentemente abusados por malware.
Um método para fazer isso é carregar o Alien no espaço de memória reservado para o Zygote64, o método que o Android usa para iniciar aplicativos. Essa manobra permite que o malware gerencie melhor os dados roubados.
“Ao armazenar o áudio gravado em uma área de memória compartilhada usando o ALIEN, depois salvá-lo em disco e exfiltrá-lo com o PREDATOR, essa restrição pode ser contornada”, escreveram os pesquisadores do Talos. “Esta é uma visão simplificada do processo – lembre-se de que o ALIEN é injetado no espaço de endereço do zigoto para girar em processos privilegiados especializados dentro do modelo de permissão do Android. Como o zygote é o processo pai da maioria dos processos do Android, ele pode mudar para a maioria dos UIDs e fazer a transição para outros contextos SELinux que possuem privilégios diferentes. Portanto, isso torna o zigoto um ótimo alvo para iniciar operações que exigem vários conjuntos de permissões.”
O Predator, por sua vez, contou com dois componentes adicionais:
- Tcore é o componente principal e contém a funcionalidade principal do spyware. Os recursos de espionagem incluem gravação de áudio e coleta de informações do Signal, WhatsApp e Telegram e outros aplicativos. As funcionalidades periféricas incluem a capacidade de ocultar aplicativos e impedir que aplicativos sejam executados na reinicialização do dispositivo.
- Kmem, que fornece acesso arbitrário de leitura e gravação no espaço de endereço do kernel. Esse acesso é cortesia do Alien explorando CVE-2021-1048, que permite que o spyware execute a maioria de suas funções.
O mergulho profundo provavelmente ajudará os engenheiros a criar melhores defesas para detectar o spyware Predator e impedir que ele funcione conforme projetado. Os pesquisadores do Talos não conseguiram obter versões do Predator desenvolvidas para dispositivos iOS.
.
