Cisco Talos i Citizen Lab predstavili su novu tehničku analizu komercijalnog Android špijunskog softvera ‘Predator’ i njegovog loadera ‘Alien’, dijeleći njegove mogućnosti krađe podataka i druge operativne detalje

 

Analizirajući Android verziju softvera, istraživači bezbjednosti su zaključili da je Alien više od pukog loadera za Predator i da Alien i Predator rade u kombinaciji kako bi omogućili sve vrste špijunaže i aktivnosti prikupljanja obavještajnih podataka na kompromitovanom uređaju.

„Kada se koriste zajedno, ove komponente pružaju razne mogućnosti krađe informacija, nadzora i daljinskog pristupa“, rekli su istraživači.

Predator je komercijalni špijunski softver za mobilne platforme, koji je razvila i prodala izraelska kompanija Intellexa. Softver, koji je dizajniran da špijunira i krade podatke sa uređaja u koje je ušao, dostupan je za Google Android i Apple iOS.

Porodica špijunskog softvera je povezana s operacijama nadzora usmjerenim na novinare, visokoprofilirane evropske političare, pa čak i na rukovodioce Meta-e.

Špijunski softver može da snima telefonske pozive, da prikuplja informacije iz aplikacija za razmjenu poruka ili čak da sakrije aplikacije i spriječe njihovo izvršavanje na zaraženim Android uređajima.

Ovo uključuje snimanje zvuka iz telefonskih poziva i VoIP aplikacija, krađu podataka iz Signala, WhatsApp-a i Telegrama, pa čak i sakrivanje aplikacija ili sprečavanje njihovog pokretanja nakon ponovnog pokretanja uređaja.

Međutim, Cisco kaže da nemaju pristup svim komponentama špijunskog softvera, tako da bez potpunog pregleda koda, „ovaj spisak mogućnosti ne bi trebalo da se smatra potpunim“, dodaju oni.

Istraživači kažu da mogućnosti nadzora vjerovatno uključuju praćenje geolokacije, pristup kameri i simulaciju izgleda isključenog telefona, što olakšava špijuniranje žrtve.

 

Alien loader

 

Alien loader se ubacuje u osnovni Android proces pod nazivom ‘ zygote64 ‘, a zatim preuzima i aktivira dodatne komponente špijunskog softvera na osnovu tvrdo kodirane konfiguracije.

Alien preuzima komponentu Predator sa vanjske adrese i pokreće je na uređaju ili nadograđuje najnoviju verziju Predatora, kao i komponente za komunikaciju i sinhronizaciju aplikacije.

Nakon toga, Alien nastavlja da radi na uređaju, olakšavajući diskretnu komunikaciju između komponenti špijunskog softvera skrivajući ih unutar legitimnih sistemskih procesa i primajući komande od Predatora za izvršenje, zaobilazeći Android bezbjednost (SELinux). SELinux zaobilaznica je ključna funkcija špijunskog softvera.

Alien to postiže zloupotrebom konteksta SELinux-a koji određuju koji korisnici i koji nivo informacija su dozvoljeni za svaki proces i objekat u sistemu, ukidajući postojeća ograničenja.

Štaviše, Alien sluša „ioctl“ (ulaz/izlaz kontrola) komande za komunikaciju internih komponenti špijunskog softvera, koje SELinux ne pregleda.

Konačno, Alien sprema ukradene podatke i snimke na zajedničkom memorijskom prostoru, zatim ih premješta u skladište, na kraju ih eksfiltrira kroz Predator. Ovaj proces ne pokreće kršenje pristupa i SELinux ga ne primjećuje.

 

Predator

 

Predator je glavni modul špijunskog softvera, koji stiže na uređaj kao ELF datoteka i postavlja Python runtime okruženje kako bi se olakšale različite funkcije špijunaže.

Količina evidentiranja koja se obavlja na kompromitovanom uređaju mijenja se ovisno o tome da li je implantat Predator razvojna ili stabilna verzija.

Funkcionalnosti koje olakšavaju Predator-ovi Python moduli, a izvode se zajedno sa Alien-om, uključuju izvršenje proizvoljnog koda, audio snimanje, trovanje sertifikata, skrivanje aplikacija, sprečavanje izvršavanja aplikacije (nakon ponovnog pokretanja) i nabrajanje direktorija.

Učitavač špijunskog softvera, Alien, provjerava da li je „upao“ na Samsung, Huawei, Oppo ili Xiaomi, i ako postoji podudaranje, rekurzivno nabraja sadržaj direktorija koji sadrže korisničke podatke iz e-pošte, razmjene poruka, društvenih medija i aplikacija pretraživača.

Takođe nabraja žrtvinu listu kontakata i navodi privatne datoteke u medijskim fasciklama korisnika, uključujući audio, slike i video.

Špijunski softver koristi trovanje sertifikata za instaliranje prilagođenih sertifikata trenutnim autoritetima za izdavanje sertifikata od povjerenja korisnika, omogućavajući Predatoru da provodi napade i špijunira TLS šifriranu mrežnu komunikaciju.

Cisco komentariše da je Predator oprezan sa ovom sposobnošću, ne instalirajući sertifikate na sistemskom nivou kako bi izbjegao smetnje na operativnom nivou uređaja, što bi moglo da kaže žrtvama da nešto nije u redu.

(IT mixer)