.
O spyware Android Predator tem mais recursos de vigilância do que se suspeitava anteriormente, de acordo com a análise da Cisco Talos, com a ajuda do Citizen Lab, sem fins lucrativos, no Canadá.
O Predator e seu carregador Alien existem desde pelo menos 2019 e fazem parte de um conjunto maior desenvolvido pela Cytrox, agora chamado Intellexa. O software, projetado para espionar e extrair dados dos dispositivos nos quais ele é inserido, está disponível para Google Android e Apple iOS.
Em seu mergulho profundo publicado na quinta-feira, que examina a versão Android do código, Talos sugere O Alien é mais do que apenas um carregador para um Predator, e os dois funcionam em combinação para permitir todos os tipos de atividades de espionagem e coleta de informações em dispositivos comprometidos.
“Quando usados juntos, esses componentes fornecem uma variedade de recursos de roubo de informações, vigilância e acesso remoto”, disseram os pesquisadores.
Isso inclui a gravação de áudio de chamadas telefônicas e aplicativos VoIP; roubo de dados do Signal, WhatsApp e Telegram; e até mesmo ocultar aplicativos ou impedi-los de serem executados após a reinicialização do dispositivo.
No entanto, a Talos admite que não tem acesso a todos os componentes do spyware, portanto, sem um exame completo do código, “essa lista de recursos não deve ser considerada exaustiva”, acrescentam. Ainda assim, Talos teoriza que os recursos de vigilância incluem rastreamento de geolocalização, acesso à câmera e fazer parecer que o telefone está desligado – o que torna mais fácil espionar uma vítima sem seu conhecimento.
Como companheiro snoopware pégasoque não precisa de interação do usuário para infectar os dispositivos das vítimas, Predator e Alien foram documentados explorando dias zero e outras vulnerabilidades para infectar e assumir o controle de telefones Android.
Primeiro, o Alien é injetado no processo Zygote Android, a partir do qual os aplicativos são bifurcados e lançados. Uma vez executado dentro desse processo especial do sistema, ele baixa a versão mais recente do Predator, bem como os componentes de comunicação e sincronização do aplicativo. O Alien também pode criar espaço de memória compartilhada para áudio e dados roubados e um contexto SELinux para ajudá-lo a ignorar os recursos de segurança do Android e evitar a detecção.
“O Alien não é apenas um carregador, mas também um executor – seus vários threads continuarão lendo comandos vindos do Predator e os executando, fornecendo ao spyware os meios para ignorar alguns dos recursos de segurança da estrutura do Android”, disse Talos.
O Predator, por sua vez, é um arquivo ELF que usa módulos Python e código nativo para realizar suas atividades de espionagem. Isso inclui execução de código arbitrário, gravação de áudio — de microfone, fone de ouvido e chamadas baseadas em VOIP, criação de certificados de nível de usuário e ocultação de aplicativos ou prevenção de sua execução quando o dispositivo é reinicializado.
Trabalhando com o carregador Alien, o spyware também identifica o fabricante do dispositivo. Se for fabricado pela Samsung, Huawei, Oppo ou Xiaomi, o implante enumerará recursivamente o conteúdo de vários diretórios, incluindo mensagens, contatos, mídia, e-mail, mídia social e aplicativos de navegador antes de extrair os dados da vítima. Consulte o relatório do Talos para obter os detalhes técnicos completos. ®
.
