Исследователи раскрыли детали работы шпионского ПО Predator

Исследовательские группы Cisco Talos и Citizen Lab опубликовали технический анализ коммерческого шпионского ПО для Android под названием «Predator» и его загрузчика «Alien».

Predator — это коммерческое шпионское ПО для мобильных платформ (iOS и Android), связанное с операциями по шпионажу за журналистами, высокопоставленными европейскими политиками и даже руководителями Meta *.

Predator может записывать телефонные звонки, собирать информацию из мессенджеров или даже скрывать приложения и блокировать их запуск на зараженных устройствах Android.

Загрузчик Alien

В мае 2022 года команда Google TAG раскрыла 5 уязвимостей в Android , которые Predator использовал для выполнения шелл-кода и установки загрузчика Alien на целевое устройство.

Alien внедряется в основной процесс Android под названием «zygote64», а затем загружает и активирует дополнительные компоненты шпионского ПО на основе встроенной конфигурации. Alien получает компонент Predator с внешнего адреса и запускает его на устройстве или обновляет существующий модуль на более новую версию, если такая имеется.

После этого Alien продолжает работать на устройстве, обеспечивая скрытое взаимодействие между компонентами шпионского ПО, пряча их внутри легитимных системных процессов и получая команды от Predator для выполнения, обходя защиту Android (SELinux).

Обход SELinux — это ключевая функция шпионского ПО, отличающая его от инфостилеров и троянов, продаваемых в Telegram по цене $150-300/месяц.

Cisco объясняет, что Alien обходит защиту за счет злоупотребления контекстами SELinux, которые определяют, какие пользователи и какой уровень информации разрешен для каждого процесса и объекта в системе, снимая существующие ограничения.

Кроме того, Alien прослушивает команды «ioctl» (ввод/вывод) для внутреннего взаимодействия компонентов шпионского ПО, которые SELinux не проверяет. Alien также сохраняет украденные данные и записи в общем пространстве памяти, затем перемещает их в хранилище, в конечном итоге выгружая их через Predator. Этот процесс не вызывает нарушений доступа и остается незамеченным для SELinux.

Возможности Predator

Predator – это основной модуль шпионского ПО, поступающий на устройство в виде ELF-файла и создающий среду выполнения Python для обеспечения различных функций шпионажа.

Функциональность Predator включает:

• выполнение произвольного кода;
• запись аудио;
• подмену сертификатов;
• скрытие приложений;
• предотвращение запуска приложений (после перезагрузки);
• перечисление директорий.

Примечательно, что Predator проверяет, работает ли он на Samsung, Huawei, Oppo или Xiaomi. Если да – ВПО рекурсивно перечисляет содержимое директорий, которые хранят пользовательские данные из почтовых приложений, мессенджеров, соцсетей и браузеров. Predator также перечисляет список контактов жертвы и конфиденциальные файлы в папках медиа пользователя, включая аудио, изображения и видео.

Predator также подменяет сертификаты для установки пользовательских сертификатов в текущие доверенные центры сертификации пользователей. Это позволяет Predator проводить MiTM-атаки (man-in-the-middle) и шпионить за TLS-зашифрованным сетевым обменом.

Cisco отмечает, что Predator осторожно использует эту возможность. ВПО не устанавливает сертификаты на системном уровне, так как это может помешать работе устройства и привлечь внимание пользователя.

Пропущенные части

Несмотря на такой глубокий анализ компонентов шпионского ПО, исследователи не знают деталей о двух модулях – «tcore» (основной компонент) и «kmem» (механизм повышения привилегий). Оба загружены в среду выполнения Python Predator.

Аналитики полагают, «tcore» отслеживает геолокацию цели, делает снимки с камеры или имитирует выключение устройства. В свою очередь, «kmem» предоставляет произвольный доступ на чтение и запись в пространство ядра.

Поскольку модули не могут быть извлечены из зараженных устройств, части шпионского ПО Predator всё ещё остаются неизведанными.

Predator был разработан компанией Cytrox, которая базируется в Северной Македонии и продает коммерческое шпионское ПО и другие инструменты наблюдения. Компания Cytrox также стоит за другим шпионским ПО под названием Hermit, которое было использовано для взлома смартфонов журналистов и активистов в Индии.

Predator не единственное шпионское ПО, которое используется для целенаправленных атак на пользователей с высоким уровнем риска. Другой пример - Pegasus, разработанный израильской компанией NSO Group. Pegasus также может взламывать и отслеживать смартфоны на базе Android и iOS. Pegasus был использован для шпионажа за журналистами, правозащитниками, политиками и бизнесменами в разных странах мира.

Apple, один из производителей смартфонов, подвергающихся атакам Predator и Pegasus, запустила новую функцию безопасности под названием «Режим изоляции (Lockdown Mode)» в iOS 16, iPadOS 16 и macOS Ventura. Эта функция блокирует некоторые функции для обеспечения максимальной защиты от «целенаправленных кибератак».

* Компания Meta и её продукты (Instagram и Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.