{"id":774171,"date":"2023-05-26T13:24:34","date_gmt":"2023-05-26T13:24:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/predator-android-spyware-los-investigadores-hacen-sonar-la-alarma-sobre-capacidades-alarmantes\/"},"modified":"2023-05-26T13:24:38","modified_gmt":"2023-05-26T13:24:38","slug":"predator-android-spyware-los-investigadores-hacen-sonar-la-alarma-sobre-capacidades-alarmantes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/predator-android-spyware-los-investigadores-hacen-sonar-la-alarma-sobre-capacidades-alarmantes\/","title":{"rendered":"Predator Android Spyware: los investigadores hacen sonar la alarma sobre capacidades alarmantes"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los investigadores de seguridad han compartido una inmersi\u00f3n profunda en el spyware comercial de Android llamado Predator, que es comercializado por la compa\u00f1\u00eda israel\u00ed. intelexa <\/b>(anteriormente Cytrox).<\/p>\n

Predator fue documentado por primera vez por Threat Analysis Group (TAG) de Google en mayo de 2022 como parte de los ataques que aprovechan cinco fallas diferentes de d\u00eda cero en el navegador web Chrome y Android.<\/p>\n

El software esp\u00eda, que se entrega por medio de otro componente cargador llamado Alien, est\u00e1 equipado para grabar audio de llamadas telef\u00f3nicas y aplicaciones basadas en VoIP, as\u00ed como recopilar contactos y mensajes, incluso de Signal, WhatsApp y Telegram.<\/p>\n

Sus otras funcionalidades le permiten ocultar aplicaciones y evitar que se ejecuten al reiniciar el tel\u00e9fono.<\/p>\n

“Una inmersi\u00f3n profunda en ambos componentes de spyware indica que Alien es m\u00e1s que un simple cargador para Predator y configura activamente las capacidades de bajo nivel necesarias para que Predator esp\u00ede a sus v\u00edctimas”, Cisco Talos dicho<\/a> en un informe t\u00e9cnico.<\/p>\n

El spyware como Predator y Pegasus de NSO Group se entregan cuidadosamente como parte de ataques altamente dirigidos al armar lo que se denomina cadenas de explotaci\u00f3n de clic cero que generalmente no requieren interacci\u00f3n de las v\u00edctimas y permiten la ejecuci\u00f3n de c\u00f3digo y la escalada de privilegios.<\/p>\n

“Predator es una pieza interesante de spyware mercenario que existe desde al menos 2019, dise\u00f1ada para ser flexible de modo que los nuevos m\u00f3dulos basados \u200b\u200ben Python puedan entregarse sin la necesidad de una explotaci\u00f3n repetida, lo que lo hace especialmente vers\u00e1til y peligroso”, explic\u00f3 Talos. .<\/p>\n

Tanto Predator como Alien est\u00e1n dise\u00f1ados para eludir las barreras de seguridad en Android, con el \u00faltimo cargado en un proceso central de Android llamado Zygote para descargar y ejecutar otros m\u00f3dulos de spyware, incluido Predator, desde un servidor externo.<\/p>\n

Actualmente no est\u00e1 claro c\u00f3mo se activa Alien en un dispositivo infectado en primer lugar. Sin embargo, se sospecha que se carga desde un shellcode que se ejecuta aprovechando las vulnerabilidades de la etapa inicial.<\/p>\n

“Alien no es solo un cargador sino tambi\u00e9n un ejecutor: sus m\u00faltiples subprocesos seguir\u00e1n leyendo los comandos provenientes de Predator y ejecut\u00e1ndolos, proporcionando al software esp\u00eda los medios para eludir algunas de las caracter\u00edsticas de seguridad del marco de Android”, dijo la compa\u00f1\u00eda.<\/p>\n

Los diversos m\u00f3dulos de Python asociados con Predator permiten realizar una amplia gama de tareas, como robo de informaci\u00f3n, vigilancia, acceso remoto y ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n

El software esp\u00eda, que llega como un binario ELF antes de configurar un entorno de tiempo de ejecuci\u00f3n de Python, tambi\u00e9n puede agregar certificados a la tienda y enumerar el contenido de varios directorios en el disco si se ejecuta en un dispositivo fabricado por Samsung, Huawei, Oppo o Xiaomi.<\/p>\n

Dicho esto, todav\u00eda faltan muchas piezas que podr\u00edan ayudar a completar el rompecabezas del ataque. Esto comprende un m\u00f3dulo principal llamado tcore y un mecanismo de escalada de privilegios denominado kmem, los cuales han sido dif\u00edciles de obtener hasta ahora.<\/p>\n

Cisco Talos teoriz\u00f3 que tcore podr\u00eda haber implementado otras funciones como el seguimiento de geolocalizaci\u00f3n, el acceso a la c\u00e1mara y la simulaci\u00f3n de un apagado para espiar de forma encubierta a las v\u00edctimas.<\/p>\n

\"Programa<\/div>\n

Los hallazgos se producen cuando el uso de spyware comercial por parte de los actores de amenazas ha experimentado un aumento en los \u00faltimos a\u00f1os, al igual que la cantidad de empresas de mercenarios cibern\u00e9ticos que brindan estos servicios est\u00e1n en una trayectoria ascendente.<\/p>\n

Si bien estas herramientas sofisticadas est\u00e1n destinadas al uso exclusivo de los gobiernos para contrarrestar delitos graves y combatir las amenazas a la seguridad nacional, tambi\u00e9n han sido objeto de abuso por parte de los clientes para vigilar a disidentes, activistas de derechos humanos, periodistas y otros miembros de la sociedad civil.<\/p>\n

Como ejemplo, el grupo de derechos digitales Access Now dijo que descubierto<\/a> evidencia<\/a> de Pegasus dirigido a una docena de personas en Armenia, incluido un trabajador de una ONG, dos periodistas, un funcionario de las Naciones Unidas y un defensor del pueblo de derechos humanos en Armenia. Una de las v\u00edctimas fue pirateada al menos 27 veces entre octubre de 2020 y julio de 2021.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n

Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

“Esta es la primera evidencia documentada del uso del spyware Pegasus en un contexto de guerra internacional<\/a>“Accede ahora dicho<\/a>y agreg\u00f3 que comenz\u00f3 una investigaci\u00f3n despu\u00e9s de que Apple envi\u00f3 notificaciones a las personas en cuesti\u00f3n de que podr\u00edan haber sido v\u00edctimas de ataques de spyware patrocinados por el estado en noviembre de 2021.<\/p>\n

No hay v\u00ednculos concluyentes que conecten el uso de spyware con una agencia gubernamental espec\u00edfica en Armenia o Azerbaiy\u00e1n. Vale la pena se\u00f1alar que Armenia fue descubierta como cliente de Intellexa por Meta en diciembre de 2021 en ataques dirigidos a pol\u00edticos y periodistas de la naci\u00f3n.<\/p>\n

Adem\u00e1s, la empresa de seguridad cibern\u00e9tica Check Point revel\u00f3 a principios de este a\u00f1o que varias entidades armenias hab\u00edan sido infectadas con una puerta trasera de Windows conocida como OxtaRAT como parte de una campa\u00f1a de espionaje alineada con los intereses de Azerbaiy\u00e1n.<\/p>\n

En un giro m\u00e1s inusual de los acontecimientos, Los New York Times<\/a> y el poste de washington<\/a> inform\u00f3 esta semana que el gobierno mexicano podr\u00eda estar espi\u00e1ndose a s\u00ed mismo al usar Pegasus contra un alto funcionario a cargo de investigar presuntos abusos militares.<\/p>\n

M\u00e9xico tambi\u00e9n es el primer y m\u00e1s prol\u00edfico usuario de Pegasus, a pesar de sus promesas de cesar el uso ilegal del notorio spyware.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n