Un nuevo análisis del sofisticado software espía comercial llamado Predator ha revelado que su capacidad de persistir entre reinicios se ofrece como una «función adicional» y que depende de las opciones de licencia elegidas por el cliente.
«En 2021, el software espía Predator no pudo sobrevivir a un reinicio en el sistema Android infectado (lo tenía en iOS)», los investigadores de Cisco Talos Mike Gentile, Asheer Malhotra y Vitor Ventura. dicho en un informe compartido con The Hacker News. «Sin embargo, en abril de 2022, esa capacidad se estaba ofreciendo a sus clientes».
Predator es producto de un consorcio llamado Intellexa Alliance, que incluye Cytrox (posteriormente adquirida por WiSpear), Nexa Technologies y Senpai Technologies. Tanto Cytrox como Intellexa fueron agregados a la Lista de Entidades por Estados Unidos en julio de 2023 por «tráfico de exploits cibernéticos utilizados para obtener acceso a sistemas de información».
Los últimos hallazgos llegan más de seis meses después de que el proveedor de ciberseguridad detallara el funcionamiento interno de Predator y su armoniosa ecuación con otro componente del cargador llamado Alien.
«Alien es crucial para el funcionamiento exitoso de Predator, incluidos los componentes adicionales cargados por Predator bajo demanda», dijo Malhotra a The Hacker News en ese momento. «La relación entre Alien y Predator es extremadamente simbiótica, lo que les exige trabajar continuamente en conjunto para espiar a las víctimas».
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Predator, que puede apuntar tanto a Android como a iOS, ha sido descrito como un «sistema de extracción móvil remota» que se vende con un modelo de licencia que cuesta millones de dólares según el exploit utilizado para el acceso inicial y la cantidad de infecciones simultáneas, lo que las coloca fuera del alcance de los guionistas y delincuentes novatos.
El software espía como Predator y Pegasus, desarrollado por NSO Group, a menudo se basa en cadenas de exploits de día cero en Android, iOS y navegadores web como vectores de intrusión encubiertos. A medida que Apple y Google continúan tapando las brechas de seguridad, estas cadenas de exploits pueden volverse ineficaces, lo que los obligará a volver a la mesa de dibujo.
Sin embargo, vale la pena señalar que las empresas detrás de las herramientas de vigilancia mercenaria también pueden adquirir cadenas de exploits completas o parciales de intermediarios de exploits y convertirlas en un exploit operativo que pueda emplearse para vulnerar eficazmente los dispositivos objetivo.
Otro aspecto clave del modelo de negocios de Intellexa es que descarga el trabajo de configurar la infraestructura de ataque a los propios clientes, dejándoles espacio para una negación plausible en caso de que las campañas salgan a la luz (como inevitablemente sucede).
«La entrega del hardware de soporte de Intellexa es hecho en una terminal o aeropuerto», dijeron los investigadores.
«Este método de entrega se conoce como Costo de Seguro y Transporte (CIF), que forma parte de la jerga de la industria naviera (‘Incoterms’). Este mecanismo permite a Intellexa afirmar que no tienen visibilidad de dónde se implementan y finalmente se ubican los sistemas. «
Además, Intellexa posee «conocimiento de primera mano» sobre si sus clientes están realizando operaciones de vigilancia fuera de sus propias fronteras debido a que las operaciones están intrínsecamente conectadas a la licencia, que, por defecto, está restringida a un único teléfono. Prefijo del código de país.
Esta limitación geográfica, no obstante, puede reducirse pagando una tarifa adicional.
Cisco Talos señaló que, si bien la exposición pública de los actores ofensivos del sector privado y sus campañas ha tenido éxito en los esfuerzos de atribución, ha tenido poco impacto en su capacidad para realizar y hacer crecer sus negocios en todo el mundo, incluso si puede afectar a sus clientes, como como gobiernos.
«Puede aumentar los costos al obligarlos a comprar o crear nuevas cadenas de exploits, pero estos proveedores parecen haber adquirido nuevas cadenas de exploits sin problemas, lo que les permite permanecer en el negocio saltando de un conjunto de exploits a otro como medio de acceso inicial». dijeron los investigadores.
«Lo que se necesita es la divulgación pública de análisis técnicos del software espía móvil y muestras tangibles que permitan el escrutinio público del malware. Dichas divulgaciones públicas no sólo permitirán mayores análisis e impulsarán los esfuerzos de detección, sino que también impondrán costos de desarrollo a los proveedores para que evolucionen constantemente sus implantes. «.