Κοιτάζοντας κάτω από την κουκούλα του λογισμικού κατασκοπείας Android της Intellexa

Ερευνητές ασφαλείας στο Cisco Talos και το Citizen Lab παρουσίασαν μια νέα τεχνική ανάλυση του εμπορικού λογισμικού κατασκοπείας Android «Predator» και του φορτωτή του «Alien», μοιράζοντας τις δυνατότητες κλοπής δεδομένων και άλλες επιχειρησιακές λεπτομέρειες.

Το Predator είναι ένα εμπορικό λογισμικό κατασκοπείας για κινητές πλατφόρμες (iOS και Android) που αναπτύχθηκε και πωλείται από την ισραηλινή εταιρεία Intellexa.

Η οικογένεια spyware έχει συνδεθεί με στόχευση επιχειρήσεων παρακολούθησης δημοσιογράφοιυψηλό προφίλ ευρωπαίοι πολιτικοίκαι ακόμα Στελέχη της Meta.

Το λογισμικό κατασκοπείας μπορεί να καταγράφει τηλεφωνικές κλήσεις, να συλλέγει πληροφορίες από εφαρμογές ανταλλαγής μηνυμάτων ή ακόμα και να αποκρύπτει εφαρμογές και να εμποδίζει την εκτέλεσή τους σε μολυσμένες συσκευές Android.

Ο εξωγήινος φορτωτής

Τον Μάιο του 2022, το Google TAG αποκάλυψε πέντε ευπάθειες Android zero-day που το λογισμικό κατασκοπείας Predator δέσμευσε για να εκτελέσει την εκτέλεση κώδικα κελύφους για να ρίξει το πρόγραμμα φόρτωσης του Predator ‘Alien’ σε μια στοχευμένη συσκευή.

Ο φορτωτής Alien εγχέεται σε μια βασική διαδικασία Android που ονομάζεται “ζυγωτός64και στη συνέχεια κατεβάζει και ενεργοποιεί πρόσθετα στοιχεία λογισμικού υποκλοπής spyware με βάση μια σκληρά κωδικοποιημένη διαμόρφωση.

Το Alien ανακτά το στοιχείο Predator από μια εξωτερική διεύθυνση και το εκκινεί στη συσκευή ή αναβαθμίζει το υπάρχον ωφέλιμο φορτίο με μια νεότερη έκδοση, εάν είναι διαθέσιμη.

Μετά από αυτό, το Alien συνεχίζει να λειτουργεί στη συσκευή, διευκολύνοντας τις διακριτικές επικοινωνίες μεταξύ των στοιχείων του spyware αποκρύπτοντάς τα σε νόμιμες διαδικασίες συστήματος και λαμβάνοντας εντολές από το Predator για εκτέλεση παρακάμπτοντας την ασφάλεια Android (SELinux).

Μια παράκαμψη SELinux είναι μια κρίσιμη λειτουργία του spyware, διαφοροποιώντας το από 150-300 $/μήνα κλέφτες πληροφοριών και trojans που πωλούνται στο Telegram.

Η Cisco εξηγεί ότι το Alien το επιτυγχάνει αυτό κάνοντας κατάχρηση των πλαισίων του SELinux που καθορίζουν ποιοι χρήστες και ποιο επίπεδο πληροφοριών επιτρέπεται για κάθε διαδικασία και αντικείμενο στο σύστημα, αίροντας τους υπάρχοντες περιορισμούς.

Επιπλέον, το Alien ακούει για εντολές “ioctl” (έλεγχος εισόδου/εξόδου) για τις επικοινωνίες εσωτερικού εξαρτήματος του spyware, τις οποίες το SELinux δεν επιθεωρεί.

Τέλος, το Alien αποθηκεύει τα κλεμμένα δεδομένα και τις εγγραφές σε έναν κοινόχρηστο χώρο μνήμης και, στη συνέχεια, τον μετακινεί σε αποθηκευτικό χώρο και τελικά τον εκμεταλλεύεται μέσω του Predator. Αυτή η διαδικασία δεν προκαλεί παραβιάσεις πρόσβασης και περνά απαρατήρητη από το SELinux.

Δυνατότητες αρπακτικών

Το Predator είναι η μονάδα αιχμής του δόρατος του spyware, που φτάνει στη συσκευή ως αρχείο ELF και δημιουργεί ένα περιβάλλον χρόνου εκτέλεσης Python για να διευκολύνει τις διάφορες λειτουργίες κατασκοπείας.

Ο όγκος της καταγραφής που εκτελείται στη συσκευή που έχει παραβιαστεί αλλάζει ανάλογα με το αν το εμφύτευμα Predator είναι μια εξέλιξη ή μια σταθερή έκδοση.

Οι λειτουργίες που διευκολύνονται από τις λειτουργικές μονάδες Python του Predator και εκτελούνται μαζί με το Alien, περιλαμβάνουν αυθαίρετη εκτέλεση κώδικα, εγγραφή ήχου, δηλητηρίαση πιστοποιητικών, απόκρυψη εφαρμογών, πρόληψη εκτέλεσης εφαρμογής (μετά την επανεκκίνηση) και απαρίθμηση καταλόγου.

Το πρόγραμμα φόρτωσης του spyware, Alien, ελέγχει εάν εκτελείται σε Samsung, Huawei, Oppo ή Xiaomi και αν υπάρχει αντιστοιχία, απαριθμεί αναδρομικά τα περιεχόμενα των καταλόγων που περιέχουν δεδομένα χρήστη από email, μηνύματα, κοινωνικά μέσα και εφαρμογές προγράμματος περιήγησης.

Απαριθμεί επίσης τη λίστα επαφών του θύματος και παραθέτει ιδιωτικά αρχεία στους φακέλους πολυμέσων του χρήστη, συμπεριλαμβανομένων ήχου, εικόνων και βίντεο.

Το λογισμικό υποκλοπής χρησιμοποιεί επίσης τη δηλητηρίαση πιστοποιητικών για την εγκατάσταση προσαρμοσμένων πιστοποιητικών στις τρέχουσες αρχές πιστοποιητικών αξιόπιστων από τους χρήστες, επιτρέποντας στο Predator να διεξάγει επιθέσεις από άνθρωπο στη μέση και να κατασκοπεύει την κρυπτογραφημένη με TLS επικοινωνία δικτύου.

Η Cisco σχολιάζει ότι το Predator είναι προσεκτικό με αυτήν την ικανότητα, δεν εγκαθιστά τα πιστοποιητικά σε επίπεδο συστήματος για να αποφύγει παρεμβολές στο λειτουργικό επίπεδο της συσκευής, κάτι που μπορεί να υποδείξει στα θύματα ότι κάτι δεν πάει καλά.

«Από την οπτική γωνία ενός εισβολέα, οι κίνδυνοι υπερτερούν της ανταμοιβής, καθώς με τα πιστοποιητικά σε επίπεδο χρήστη, το λογισμικό υποκλοπής spyware μπορεί ακόμα να εκτελέσει αποκρυπτογράφηση TLS σε οποιαδήποτε επικοινωνία εντός του προγράμματος περιήγησης», εξηγούν οι ερευνητές.

Λείπουν κομμάτια

Παρόλο που η Cisco και το Citizen Lab μπήκαν βαθιά στα στοιχεία του λογισμικού υποκλοπής spyware, οι ερευνητές εξακολουθούν να λείπουν λεπτομέρειες σχετικά με δύο ενότητες, δηλαδή το «tcore» και το «kmem», που έχουν φορτωθεί στο περιβάλλον χρόνου εκτέλεσης της Python του Predator.

«Αξιολογούμε με μεγάλη σιγουριά ότι το λογισμικό κατασκοπείας έχει δύο επιπλέον στοιχεία — tcore (κύριο στοιχείο) και kmem (μηχανικός κλιμάκωσης προνομίων) — αλλά δεν μπορέσαμε να αποκτήσουμε και να αναλύσουμε αυτές τις ενότητες», εξηγεί Η έκθεση της Cisco.

Οι αναλυτές πιστεύουν ότι το tcore πραγματοποιεί παρακολούθηση γεωγραφικής θέσης, λήψη εικόνων από την κάμερα ή προσομοίωση απενεργοποίησης συσκευής.

Η υπόθεση της Cisco για τη μονάδα kmem είναι ότι παρέχει αυθαίρετη πρόσβαση ανάγνωσης και εγγραφής στο χώρο διευθύνσεων του πυρήνα.

Δεδομένου ότι κανένα από τα δύο δεν ήταν δυνατό να ανακτηθεί από μολυσμένες συσκευές, τμήματα του spyware Predator της Intellexa παραμένουν αχαρτογράφητα.