Один взгляд на баннер — и телефон заражён. Как Intellexa поставила на поток взлом смартфонов без единого клика

leer en español

Intellexa Predator Aladdin Thor Oberon Amnesty International Google Recorded Future слежка кибершпионаж
Один взгляд на баннер — и телефон заражён. Как Intellexa поставила на поток взлом смартфонов без единого клика
Intellexa Predator Aladdin Thor Oberon Amnesty International Google Recorded Future слежка кибершпионаж

Жертве не поможет ни осторожность, ни отказ от подозрительных ссылок — правила цифровой гигиены больше не работают.

image

Совместное расследование трёх медиаорганизаций (Inside Story, Haaretz и WAV Research Collective) выявило новый способ скрытой доставки коммерческого шпионского ПО, который расширяет возможности слежки и делает атаки незаметными для жертвы. Материалы утечек раскрывают устройство рекламной инфраструктуры, через которую распространяется инструмент Predator компании Intellexa, давно вызывающий тревогу у специалистов по цифровой безопасности.

Согласно утечке внутренних документов Intellexa и сопутствующего маркетингового набора, в арсенале компании появился механизм «Аладдин», работающий через мобильные рекламные сети. Он был впервые задействован в 2024 году и, по оценке технических аналитиков из правозащитных и технологических организаций, продолжает активно развиваться.

Его особенность в том, что вредоносное объявление достаточно просто загрузить на странице сайта — обычный просмотр становится достаточным условием для заражения. Подстановка такого объявления выполняется через систему DSP, ориентируясь на IP-адрес и другие сетевые признаки цели. Google уточняет, что просмотр приводит к перенаправлению на серверы Intellexa, где и происходит дальнейшая цепочка эксплуатации.

Рекламный трафик проходит через разветвлённую сеть компаний, зарегистрированных в разных странах Европы и Ближнего Востока. Аналитики Recorded Future* сопоставили данные из утечки с открытой инфраструктурой и указали связанные фирмы и фигурантов, задействованных в доставке вредоносных объявлений. Блокировка рекламы в браузере и сокрытие публичного IP могут ухудшить условия для атаки, однако документы Intellexa подтверждают, что мобильные операторы некоторых стран способны предоставлять сведения, позволяющие обойти эти меры.

Отдельным пунктом в утечке проходит механизм «Тритон», ориентированный на устройства на базе Samsung Exynos. Он использует уязвимости в модеме и принудительное переключение на 2G, создавая условия для заражения. Также упоминаются разработки под названиями «Тор» и «Оберон», предположительно связанные с радиоканалами или атаками при физическом доступе.

По данным Google, Intellexa остаётся одной из наиболее активных коммерческих шпионских групп, применяющих неизвестные ранее уязвимости: на неё приходится значительная часть подтверждённых инцидентов за последние годы. Компания сочетает собственные наработки с закупкой сторонних цепочек эксплуатации.

Несмотря на санкции и проверки в Греции, деятельность Intellexa не ослабла, отмечают Amnesty International. По мере усложнения инструментов слежки мобильные платформы предлагают дополнительные защитные режимы, такие как Advanced Protection для Android и Lockdown Mode для iOS, которые становятся всё более актуальными на фоне подобных угроз.

* Recorded Future признана нежелательной организацией в России.