Un reciente análisis realizado por Talos ha desvelado nuevos detalles sobre “Predator”, un sofisticado software espía utilizado para atacar dispositivos móviles Android e iOS. Desarrollado por Cytrox, en colaboración con otras empresas pertenecientes a una alianza llamada Intellexa, Predator ha sido utilizado en campañas respaldadas por gobiernos y vendido a diversos actores gubernamentales en países como Egipto, Arabia Saudita, Serbia y Grecia. Este software espía ha demostrado ser especialmente preocupante debido a su capacidad para eludir las funciones de seguridad tradicionales del sistema operativo Android. Talos ha revelado que Predator trabaja en conjunto con un componente llamado Alien, que desempeña un papel crucial en la operación del malware. Estos hallazgos brindan una visión más completa del funcionamiento interno de Predator y su capacidad para espiar a las víctimas. |
El malware para teléfonos inteligentes que se vende a los gobiernos de todo el mundo puede grabar de forma subrepticia llamadas de voz y audio cercano, recopilar datos de aplicaciones como Signal y WhatsApp, y ocultar aplicaciones o evitar que se ejecuten al reiniciar el dispositivo, según descubrieron los investigadores del equipo de seguridad Talos de Cisco.
El informe de Talos destaca que, hasta ahora, gran parte del funcionamiento interno de Predator era desconocido. Sin embargo, gracias a partes clave del malware obtenidas por Talos, se ha podido analizar en profundidad el software espía. Contrariamente a lo que se creía anteriormente, Alien resulta ser más que un simple cargador de Predator. En realidad, implementa activamente capacidades de bajo nivel que Predator necesita para espiar a sus víctimas.
Alien aprovecha cinco vulnerabilidades específicas en dispositivos Android, incluyendo algunas que afectan a Google Chrome y Linux. Alien se apoderó de los dispositivos específicos explotando cinco vulnerabilidades: CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003, CVE-2021-1048, las primeras cuatro de los cuales afectaron a Google Chrome, y los últimos a Linux y Android.
Trabajando en conjunto, Alien y Predator logran eludir las restricciones de seguridad de Android, incluida una protección conocida como SELinux. Este método les permite acceder a los sockets, que son canales de comunicación entre procesos, a menudo explotados por malware.
El informe destaca que Alien se carga en el espacio de memoria reservado para Zygote64, el método utilizado por Android para iniciar aplicaciones. Esto permite que el malware administre de manera más eficiente los datos robados, como grabaciones de audio. Al almacenar estas grabaciones en un área de memoria compartida utilizando Alien, el malware puede eludir las restricciones de SELinux y filtrar los datos utilizando Predator.
Predator, por su parte, se basa en dos componentes adicionales: Tcore y Kmem. Tcore es el componente principal y contiene las capacidades de espionaje central, como la grabación de audio y la recopilación de información de aplicaciones de mensajería como Signal, WhatsApp y Telegram. Además, tiene la capacidad de ocultar aplicaciones y evitar que se ejecuten al reiniciar el dispositivo. Por otro lado, Kmem proporciona acceso arbitrario de lectura y escritura en el espacio de direcciones del kernel, gracias a una explotación de una vulnerabilidad conocida como CVE-2021-1048.
A pesar de los avances en el análisis del malware, los investigadores de Talos no pudieron obtener versiones de Predator desarrolladas para dispositivos iOS. Sin embargo, esta inmersión profunda en el funcionamiento interno de Predator y Alien permitirá a los ingenieros desarrollar mejores defensas para detectar y prevenir eficazmente este tipo de software espía.
Conclusión
El análisis realizado por Talos ha proporcionado una visión detallada y preocupante del software espía avanzado Predator y su componente Alien. Estos hallazgos revelan cómo Predator ha sido utilizado en ataques respaldados por gobiernos y vendido a varios actores gubernamentales en diferentes países. Además, la capacidad de Predator y Alien para eludir las funciones de seguridad tradicionales de Android plantea un desafío significativo para la protección de dispositivos móviles. Sin embargo, la inmersión profunda en el funcionamiento interno de este malware permitirá desarrollar mejores defensas y mitigar los riesgos asociados con Predator y otros software espía similares en el futuro.