安全研究人员深入研究了名为 Predator (捕食者)的商业 Android 间谍软件,该软件由以色列公司Intellexa(前身为 Cytrox)销售。
据该公司主页描述:Intellexa 是一个情报系统提供商联盟,为执法和情报机构提供端到端的解决方案,该公司由前以色列情报官员Tal Dilian所有。
Predator (捕食者)于 2022 年 5 月首次被谷歌的威胁分析小组 (TAG) 记录为利用 Chrome 网络浏览器和 Android 中五个不同的0day漏洞攻击的一部分。
参考资料:
https://thehackernews.com/2022/05/cytroxs-predator-spyware-target-android.html
https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/
Predator (捕食者) 间谍软件通过另一个名为 Alien 的加载器组件提供,能够记录电话和基于 VoIP 的应用程序的音频,并收集联系人和消息,包括来自 Signal、WhatsApp 和 Telegram 的联系人和消息。
它的其他功能允许它隐藏应用程序并防止在重新启动手机时执行应用程序。
Cisco Talos在一份技术报告中说:“深入研究这两个间谍软件组件表明,Alien 不仅仅是 Predator (捕食者)的加载器,它还积极设置 Predator (捕食者)监视其受害者所需的低级功能。”
参考资料:
https://blog.talosintelligence.com/mercenary-intellexa-predator/
Predator 和NSO Group 的 Pegasus(全球最臭名昭著的“飞马”间谍软件)等间谍软件通过将所谓的零点击漏洞利用链*器武**化,作为高度针对性攻击的一部分精心交付,这些漏洞利用链通常不需要受害者的交互,并允许代码执行和特权升级。
“Predator (捕食者)是一种有趣的商业间谍软件,至少从 2019 年开始就存在,它的设计非常灵活,因此可以交付新的基于 Python 的模块而无需重复开发,从而使其特别多才多艺和危险。”Talos 解释说。
Predator 和 Alien 都旨在绕过 Android 系统的安全防护,后者被加载到一个名为Zygote的核心 Android 进程中,以从外部服务器*载下**和启动其他间谍软件模块,包括 Predator (捕食者)。
目前尚不清楚 Alien 最初是如何在受感染的设备上激活的,它被怀疑是从利用初始阶段漏洞执行的 shellcode 加载的。
“Alien 不仅是加载程序,还是执行程序——它的多个线程将不断读取来自 Predator (捕食者)的命令并执行它们,为间谍软件提供绕过某些 Android 框架安全功能的方法。”该公司表示。
与 Predator 关联的各种 Python 模块可以完成各种任务,例如信息窃取、监视、远程访问和任意代码执行。
该间谍软件在设置 Python 运行时环境之前以 ELF 二进制文件的形式出现,如果它在三星、华为、Oppo 或小米制造的设备上运行,还可以将证书添加到存储中并枚举磁盘上各种目录的内容。
也就是说,仍然有许多缺失的部分可以帮助完成攻击难题。这包括一个名为 tcore 的主模块和一个名为 kmem 的特权升级机制,到目前为止,这两个模块仍然难以获得。
Cisco Talos 推测 tcore 可以实现其他功能,例如地理定位跟踪、摄像头访问和模拟关机以暗中监视受害者。
Predator Android 间谍软件
调查结果出炉之际,攻击者对商业间谍软件的使用近年来出现激增,而提供这些服务的网络雇佣军公司的数量也呈上升趋势。
虽然这些复杂的工具专供某些政府机构用于打击严重犯罪和威胁国家安全的犯罪活动,但它们也被客户滥用来监视持不同政见者、*权人**活动家、记者和其他民间社会成员。
作为一个典型的例子,数字权利组织 Access Now 表示,它最近发现Pegasus(飞马间谍软件)以亚美尼亚的十几个人为目标的证据——包括一名非政府组织工作人员、两名记者、一名联合国官员和一名亚美尼亚的*权人**监察员。其中一名受害者在 2020 年 10 月至 2021 年 7 月期间被黑客攻击至少 27 次。
参考资料:
https://www.theguardian.com/technology/2023/may/25/nso-group-spyware-armenia-war
“这是在国际战争背景下使用 Pegasus 间谍软件的第一份书面证据。”Access Now补充说,在 Apple 向有关个人发出通知称他们可能是国家支持的间谍软件的受害者后,它开始了调查2021 年 11 月的袭击。
没有确凿的联系将 Pegasus 间谍软件的使用与亚美尼亚或阿塞拜疆的特定政府机构联系起来。值得注意的是,亚美尼亚在 2021 年 12 月针对该国政客和记者的攻击中被 Meta揭露为Intellexa 的客户。
更重要的是,网络安全公司 Check Point 今年早些时候透露,多个亚美尼亚实体被命为 OxtaRAT 的 Windows 后门感染,这是与阿塞拜疆利益相一致的间谍活动的一部分。
《纽约时报》和《华盛顿邮报》本周报道了一个更不寻常的事件,墨西哥政府可能通过使用 Pegasus 来监视一名负责调查涉嫌滥用军事行为的高级官员,从而对其进行间谍软件攻击活动。
墨西哥也是Pegasus 的第一个也是VIP用户,尽管它承诺停止非法使用臭名昭著的间谍软件。
参考链接:https://thehackernews.com/2023/05/predator-android-spyware-researchers.html