Une nouvelle analyse du logiciel espion commercial sophistiqué appelé Predator a révélé que sa capacité à persister entre les redémarrages est proposée en tant que « fonctionnalité complémentaire » et qu’elle dépend des options de licence choisies par le client.
« En 2021, le logiciel espion Predator n’a pas pu survivre à un redémarrage sur le système Android infecté (il l’avait sur iOS) », Mike Gentile, Asheer Malhotra et Vitor Ventura, chercheurs de Cisco Talos. dit dans un rapport partagé avec The Hacker News. « Cependant, en avril 2022, cette capacité était proposée à leurs clients. »
Predator est le produit d’un consortium appelé Intellexa Alliance, qui comprend Cytrox (acquis par la suite par WiSpear), Nexa Technologies et Senpai Technologies. Cytrox et Intellexa ont été ajoutées à la liste des entités par les États-Unis en juillet 2023 pour « trafic de cyberexploits utilisés pour accéder aux systèmes d’information ».
Les dernières découvertes surviennent plus de six mois après que le fournisseur de cybersécurité a détaillé le fonctionnement interne de Predator et son équation harmonieuse avec un autre composant de chargeur appelé Alien.
« Alien est crucial pour le bon fonctionnement de Predator, y compris les composants supplémentaires chargés par Predator à la demande », avait déclaré Malhotra à The Hacker News à l’époque. « La relation entre Alien et Predator est extrêmement symbiotique, les obligeant à travailler continuellement en tandem pour espionner les victimes. »
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Predator, qui peut cibler à la fois Android et iOS, a été décrit comme un « système d’extraction mobile à distance » vendu selon un modèle de licence qui se chiffre en millions de dollars en fonction de l’exploit utilisé pour l’accès initial et du nombre d’infections simultanées, ce qui les place hors de portée des script kiddies et des criminels débutants.
Les logiciels espions tels que Predator et Pegasus, développés par NSO Group, s’appuient souvent sur des chaînes d’exploitation Zero Day dans Android, iOS et les navigateurs Web comme vecteurs d’intrusion cachés. Alors qu’Apple et Google continuent de combler les failles de sécurité, ces chaînes d’exploits pourraient devenir inefficaces, les obligeant à retourner à la planche à dessin.
Cependant, il convient de noter que les sociétés à l’origine des outils de surveillance mercenaires peuvent également se procurer des chaînes d’exploits complètes ou partielles auprès de courtiers d’exploits et les transformer en un exploit opérationnel qui peut être utilisé pour pirater efficacement les appareils cibles.
Un autre aspect clé du modèle économique d’Intellexa est qu’il confie le travail de configuration de l’infrastructure d’attaque aux clients eux-mêmes, ce qui leur laisse une marge de déni plausible si les campagnes sont révélées (comme c’est inévitablement le cas).
« La livraison du matériel de support d’Intellexa est fait dans un terminal ou un aéroport », ont indiqué les chercheurs.
« Cette méthode de livraison est connue sous le nom de Cost Insurance and Freight (CIF), qui fait partie du jargon de l’industrie du transport maritime (« Incoterms »). Ce mécanisme permet à Intellexa d’affirmer qu’elle n’a aucune visibilité sur l’endroit où les systèmes sont déployés et éventuellement localisés. «
De plus, Intellexa possède une « connaissance directe » de la question de savoir si ses clients effectuent des opérations de surveillance en dehors de leurs propres frontières, car ces opérations sont intrinsèquement liées à la licence, qui, par défaut, est limitée à un seul téléphone. préfixe de l’indicatif du pays.
Cette limitation géographique peut néanmoins être assouplie moyennant des frais supplémentaires.
Cisco Talos a noté que même si la révélation publique des acteurs offensifs du secteur privé et de leurs campagnes a réussi dans leurs efforts d’attribution, cela a eu peu d’impact sur leur capacité à mener et à développer leurs activités à travers le monde, même si cela peut affecter leurs clients, comme en tant que gouvernements.
« Cela peut augmenter les coûts en les obligeant à acheter ou à créer de nouvelles chaînes d’exploits, mais ces fournisseurs semblent avoir acquis de nouvelles chaînes d’exploits de manière transparente, leur permettant de rester en activité en passant d’un ensemble d’exploits à un autre comme moyen d’accès initial. » » ont déclaré les chercheurs.
« Ce qu’il faut, c’est la divulgation publique d’analyses techniques des logiciels espions mobiles et d’échantillons tangibles permettant un examen public des logiciels malveillants. De telles divulgations publiques permettront non seulement de plus grandes analyses et stimuleront les efforts de détection, mais imposeront également des coûts de développement aux fournisseurs pour faire évoluer constamment leurs implants. « .