El malware para teléfonos inteligentes que se vende a los gobiernos de todo el mundo puede grabar de forma subrepticia llamadas de voz y audio cercano, recopilar datos de aplicaciones como Signal y WhatsApp, y ocultar aplicaciones o evitar que se ejecuten al reiniciar el dispositivo, según descubrieron los investigadores del equipo de seguridad Talos de Cisco.
Un análisis Talos publicado el jueves ofrece la visión más detallada hasta el momento de Predator, una pieza de software espía avanzado que se puede usar contra dispositivos móviles Android e iOS. Predator es desarrollado por Cytrox, una empresa que Citizen Lab ha dicho es parte de una alianza llamada Intellexa, “una etiqueta de marketing para una gama de proveedores de vigilancia mercenaria que surgió en 2019”. Otras empresas que pertenecen al consorcio son Nexa Technologies (antes Amesys), WiSpear/Passitora Ltd. y Senpai.
El año pasado, los investigadores del Grupo de Análisis de Amenazas de Google, que rastrea los ataques cibernéticos realizados o financiados por los estados-nación, informaron que Predator había incluyó cinco exploits de día cero separados en un solo paquete y lo vendió a varios actores respaldados por el gobierno. Estos compradores usaron el paquete en tres campañas distintas. Los investigadores dijeron que Predator trabajó en estrecha colaboración con un componente conocido como Alien, que “vive dentro de múltiples procesos privilegiados y recibe comandos de Predator”. Los comandos incluían grabar audio, agregar certificados digitales y ocultar aplicaciones.
Mientras tanto, Citizen Lab ha dicho que Predator se vende a una amplia gama de actores gubernamentales de países como Armenia, Egipto, Grecia, Indonesia, Madagascar, Omán, Arabia Saudita y Serbia. Citizen Lab continuó diciendo que Predator se había utilizado para atacar a Ayman Nour, un miembro de la oposición política egipcia que vive en el exilio en Turquía, y un periodista exiliado egipcio que presenta un programa de noticias popular y desea permanecer en el anonimato.
Desconocido hasta ahora
La mayor parte del funcionamiento interno de Predator se desconocía previamente. Eso ha cambiado ahora que Talos obtuvo partes clave del malware escrito para dispositivos Android.
Según Talos, la columna vertebral del malware consiste en Predator y Alien. Contrariamente a los entendimientos anteriores, Alien es más que un mero cargador de Predator. Más bien, implementa activamente las capacidades de bajo nivel que Predator necesita para vigilar a sus víctimas.
“Un nuevo análisis de Talos descubrió el funcionamiento interno de PREDATOR y los mecanismos que utiliza para comunicarse con el otro componente de software espía desplegado junto con él conocido como ‘ALIEN’”, decía la publicación del jueves. “Ambos componentes trabajan juntos para eludir las funciones de seguridad tradicionales en el sistema operativo Android. Nuestros hallazgos revelan el alcance del entretejido de capacidades entre PREDATOR y ALIEN, lo que demuestra que ALIEN es mucho más que un cargador para PREDATOR, como se pensaba anteriormente”.
En la muestra analizada por Talos, Alien se apoderó de los dispositivos específicos explotando cinco vulnerabilidades: CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003, CVE-2021-1048, las primeras cuatro de los cuales afectaron a Google Chrome, y los últimos a Linux y Android.
Alien y Predator trabajan de la mano para eludir las restricciones en el modelo de seguridad de Android, sobre todo las impuestas por una protección conocida como SELinux. Entre otras cosas, SELinux en Android protege de cerca el acceso a la mayoría de los sockets, que sirven como canales de comunicación entre varios procesos en ejecución y, a menudo, son víctimas de malware.
Un método para hacer esto es cargar Alien en el espacio de memoria reservado para Zygote64, el método que usa Android para iniciar aplicaciones. Esa maniobra permite que el malware administre mejor los datos robados.
“Al almacenar el audio grabado en un área de memoria compartida usando ALIEN, luego guardarlo en el disco y filtrarlo con PREDATOR, esta restricción se puede eludir”, escribieron los investigadores de Talos. “Esta es una vista simplificada del proceso: tenga en cuenta que ALIEN se inyecta en el espacio de direcciones del cigoto para pasar a procesos privilegiados especializados dentro del modelo de permisos de Android. Dado que zygote es el proceso principal de la mayoría de los procesos de Android, puede cambiar a la mayoría de los UID y hacer la transición a otros contextos de SELinux que poseen diferentes privilegios. Por lo tanto, esto hace que zygote sea un gran objetivo para comenzar operaciones que requieren múltiples conjuntos de permisos”.
Predator, a su vez, se basó en dos componentes adicionales:
- Tcore es el componente principal y contiene la funcionalidad central de spyware. Las capacidades de espionaje incluyen grabar audio y recopilar información de Signal, WhatsApp y Telegram, y otras aplicaciones. Las funcionalidades periféricas incluyen la capacidad de ocultar aplicaciones y evitar que se ejecuten al reiniciar el dispositivo.
- Kmem, que proporciona acceso arbitrario de lectura y escritura en el espacio de direcciones del kernel. Este acceso es cortesía de Alien que explota CVE-2021-1048, lo que permite que el spyware ejecute la mayoría de sus funciones.
La inmersión profunda probablemente ayudará a los ingenieros a construir mejores defensas para detectar el spyware Predator y evitar que funcione según lo diseñado. Los investigadores de Talos no pudieron obtener versiones Predator desarrolladas para dispositivos iOS.