Sommario
Il mondo degli spyware si arricchisce di un nuovo, pericoloso protagonista: Predator. Questo software malevolo, insieme al suo caricatore Alien, è diventato noto per le sue notevoli capacità di sorveglianza e attività di spionaggio su dispositivi compromessi. Le recenti analisi condotte da Cisco Talos, con il supporto del non-profit Citizen Lab in Canada, rivelano sorprendenti dettagli.
Predator e Alien: una combinazione pericolosa
Predator e Alien sono in circolazione almeno dal 2019 e fanno parte di una suite più ampia sviluppata da Cytrox, ora chiamata Intellexa. Questo software è progettato per spiare e sottrarre dati dai dispositivi in cui viene inserito, ed è disponibile per Google Android e Apple iOS.
Secondo l’analisi approfondita di Cisco Talos, Alien è molto più di un semplice caricatore per Predator. I due software lavorano in combinazione per abilitare una vasta gamma di attività di spionaggio e raccolta di informazioni su dispositivi compromessi.
Capacità di sorveglianza di Predator e Alien
L’elenco delle potenziali funzionalità di spionaggio di questi spyware è lungo e preoccupante: registrare audio da chiamate telefoniche e app VoIP; rubare dati da Signal, WhatsApp e Telegram; nascondere applicazioni o impedire loro di funzionare dopo un riavvio del dispositivo.
Nonostante questo, Talos ammette di non avere accesso a tutti i componenti dello spyware, quindi senza un esame completo del codice, “questa lista di capacità non dovrebbe essere considerata esaustiva”, sottolineano i ricercatori. Tuttavia, teorizzano che le capacità di sorveglianza includano il tracciamento della geolocalizzazione, l’accesso alla fotocamera e la capacità di far apparire il telefono come se fosse spento, facilitando così lo spionaggio senza che la vittima se ne accorga.
Come Predator e Alien infettano i dispositivi
Similmente a Pegasus, noto software di sorveglianza che non necessita di interazione dell’utente per infettare i dispositivi delle vittime, Predator e Alien sono stati documentati nell’esploito di zero-day e altre vulnerabilità per infettare e prendere il controllo dei telefoni Android.
Il processo d’infezione inizia con l’iniezione di Alien nel processo Android Zygote, da cui vengono avviate e lanciate le applicazioni. Una volta in esecuzione all’interno di quel processo di sistema speciale, Alien scarica l’ultima versione di Predator insieme ai componenti di comunicazione e sincronizzazione dell’app. Inoltre, Alien può creare uno spazio di memoria condivisa per l’audio e i dati rubati, oltre a un contesto SELinux per aiutare a eludere le funzionalità di sicurezza di Android e evitare la rilevazione.
