Los investigadores de seguridad han compartido una inmersión profunda en el spyware comercial de Android llamado Predator, que es comercializado por la compañía israelí. intelexa (anteriormente Cytrox).
Predator fue documentado por primera vez por Threat Analysis Group (TAG) de Google en mayo de 2022 como parte de los ataques que aprovechan cinco fallas diferentes de día cero en el navegador web Chrome y Android.
El software espía, que se entrega por medio de otro componente cargador llamado Alien, está equipado para grabar audio de llamadas telefónicas y aplicaciones basadas en VoIP, así como recopilar contactos y mensajes, incluso de Signal, WhatsApp y Telegram.
Sus otras funcionalidades le permiten ocultar aplicaciones y evitar que se ejecuten al reiniciar el teléfono.
“Una inmersión profunda en ambos componentes de spyware indica que Alien es más que un simple cargador para Predator y configura activamente las capacidades de bajo nivel necesarias para que Predator espíe a sus víctimas”, Cisco Talos dicho en un informe técnico.
El spyware como Predator y Pegasus de NSO Group se entregan cuidadosamente como parte de ataques altamente dirigidos al armar lo que se denomina cadenas de explotación de clic cero que generalmente no requieren interacción de las víctimas y permiten la ejecución de código y la escalada de privilegios.
“Predator es una pieza interesante de spyware mercenario que existe desde al menos 2019, diseñada para ser flexible de modo que los nuevos módulos basados en Python puedan entregarse sin la necesidad de una explotación repetida, lo que lo hace especialmente versátil y peligroso”, explicó Talos. .
Tanto Predator como Alien están diseñados para eludir las barreras de seguridad en Android, con el último cargado en un proceso central de Android llamado Zygote para descargar y ejecutar otros módulos de spyware, incluido Predator, desde un servidor externo.
Actualmente no está claro cómo se activa Alien en un dispositivo infectado en primer lugar. Sin embargo, se sospecha que se carga desde un shellcode que se ejecuta aprovechando las vulnerabilidades de la etapa inicial.
“Alien no es solo un cargador sino también un ejecutor: sus múltiples subprocesos seguirán leyendo los comandos provenientes de Predator y ejecutándolos, proporcionando al software espía los medios para eludir algunas de las características de seguridad del marco de Android”, dijo la compañía.
Los diversos módulos de Python asociados con Predator permiten realizar una amplia gama de tareas, como robo de información, vigilancia, acceso remoto y ejecución de código arbitrario.
El software espía, que llega como un binario ELF antes de configurar un entorno de tiempo de ejecución de Python, también puede agregar certificados a la tienda y enumerar el contenido de varios directorios en el disco si se ejecuta en un dispositivo fabricado por Samsung, Huawei, Oppo o Xiaomi.
Dicho esto, todavía faltan muchas piezas que podrían ayudar a completar el rompecabezas del ataque. Esto comprende un módulo principal llamado tcore y un mecanismo de escalada de privilegios denominado kmem, los cuales han sido difíciles de obtener hasta ahora.
Cisco Talos teorizó que tcore podría haber implementado otras funciones como el seguimiento de geolocalización, el acceso a la cámara y la simulación de un apagado para espiar de forma encubierta a las víctimas.
Los hallazgos se producen cuando el uso de spyware comercial por parte de los actores de amenazas ha experimentado un aumento en los últimos años, al igual que la cantidad de empresas de mercenarios cibernéticos que brindan estos servicios están en una trayectoria ascendente.
Si bien estas herramientas sofisticadas están destinadas al uso exclusivo de los gobiernos para contrarrestar delitos graves y combatir las amenazas a la seguridad nacional, también han sido objeto de abuso por parte de los clientes para vigilar a disidentes, activistas de derechos humanos, periodistas y otros miembros de la sociedad civil.
Como ejemplo, el grupo de derechos digitales Access Now dijo que descubierto evidencia de Pegasus dirigido a una docena de personas en Armenia, incluido un trabajador de una ONG, dos periodistas, un funcionario de las Naciones Unidas y un defensor del pueblo de derechos humanos en Armenia. Una de las víctimas fue pirateada al menos 27 veces entre octubre de 2020 y julio de 2021.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
“Esta es la primera evidencia documentada del uso del spyware Pegasus en un contexto de guerra internacional“Accede ahora dichoy agregó que comenzó una investigación después de que Apple envió notificaciones a las personas en cuestión de que podrían haber sido víctimas de ataques de spyware patrocinados por el estado en noviembre de 2021.
No hay vínculos concluyentes que conecten el uso de spyware con una agencia gubernamental específica en Armenia o Azerbaiyán. Vale la pena señalar que Armenia fue descubierta como cliente de Intellexa por Meta en diciembre de 2021 en ataques dirigidos a políticos y periodistas de la nación.
Además, la empresa de seguridad cibernética Check Point reveló a principios de este año que varias entidades armenias habían sido infectadas con una puerta trasera de Windows conocida como OxtaRAT como parte de una campaña de espionaje alineada con los intereses de Azerbaiyán.
En un giro más inusual de los acontecimientos, Los New York Times y el poste de washington informó esta semana que el gobierno mexicano podría estar espiándose a sí mismo al usar Pegasus contra un alto funcionario a cargo de investigar presuntos abusos militares.
México también es el primer y más prolífico usuario de Pegasus, a pesar de sus promesas de cesar el uso ilegal del notorio spyware.
About the Author
