Predator — продвинутая шпионская угроза, которую невозможно остановить

Исследователями Cisco Talos был опубликован очередной анализ коммерческого шпионского ПО «Predator». Специалисты выявили ряд изменений в функционале вредоносной мобильной программы, от которых она стала ещё опаснее.

Predator, который может атаковать как Android, так и iOS устройства, был описан экспертами как «система удалённого мобильного извлечения данных», которая продаётся по модели лицензирования стоимостью буквально в миллионы долларов. Точные затраты на приобретение лицензии зависят от эксплойта, используемого для первоначального доступа, а также количества одновременно возможных заражений.

Начинающие киберпреступники не могут позволить себе такую роскошь, а вот продвинутые APT-группировки, имеющие в загашнике определённый запас денежных средств, действительно оплачивают доступ к Predator, чтобы сделать свои атаки ещё разрушительнее.

В последнем отчёте Talos исследователи отметили, что Android-версия Predator относительно недавно получила возможность сохранения своей активности после перезагрузки устройства, в то время как iOS-версия сразу обладала таким функционалом. Тем не менее, и такой функционал тоже оплачивается отдельно.

Predator является продуктом консорциума под названием Intellexa Alliance, в который входит компания Cytrox (впоследствии приобретённая WiSpear), Nexa Technologies и Senpai Technologies. И Cytrox, и Intellexa в июле 2023 года были добавлены США в чёрный список юридических лиц — как раз за причастность к созданию шпионского софта Predator.

В своём прошлом отчёте исследователи Talos подробно описали внутреннюю работу Predator и его гармоничное сочетание с другим компонентом загрузчика под названием «Alien».

«Alien имеет решающее значение для успешного функционирования Predator, включая дополнительные компоненты, загружаемые программой по требованию», — объяснили эксперты.

Другой ключевой аспект бизнес-модели Intellexa Alliance заключается в том, что она перекладывает работу по настройке инфраструктуры атаки на самих клиентов, сводя к минимуму взаимодействие с ними, и оставляя возможность правдоподобного отрицания причастности разработчиков вредоноса к реальных хакерским атакам.

В Cisco Talos отметили, что, хотя публичное разоблачение Intellexa Alliance всё же произошло, этот факт слабо повлиял на операционную деятельность причастных компаний. Они всё ещё функционируют и предоставляют свои услуги как правительственным организациям из разных стран, так и частным хакерским объединениям.

Этот случай демонстрирует, насколько сложно остановить компании, занимающиеся коммерческой шпионской деятельностью. Другой яркий пример такой компании — знаменитая NSO Group с её шпионским софтом Pegasus.

Даже если такие компании публично разоблачают и вносят в санкционные списки, они всё равно находят лазейки в законодательстве и продолжают разрабатывать и распространять опасные инструменты слежки и шпионажа. А с внедрением новых функций по типу описанного сохранения работы после перезагрузки их вредоносный софт становится в разы опаснее.

Эффективно бороться с такими угрозами могут только объединённые усилия мирового сообщества по введению жёсткого контроля в этой сфере и пресечению деятельности подобных структур.