Внутренняя работа использующего пять ошибок нулевого дня вредоносного ПО для Android Predator раскрыта исследователями

Внутренняя работа использующего пять ошибок нулевого дня вредоносного ПО для Android «Predator» раскрыта исследователями. Фото: СС0

Анализ исследователей Talos, опубликованный в четверг, дает наиболее подробный обзор зловреда Predator, передового шпионского ПО, которое можно использовать против владельцев мобильных устройств Android и iOS. 

Predator разработан Cytrox, компанией, которая, по словам представителей Citizen Lab, является частью альянса под названием Intellexa, «маркетингового лейбла для ряда поставщиков систем видеонаблюдения, появившихся в 2019 году». Другие компании, входящие в консорциум, включают Nexa Technologies (ранее Amesys), WiSpear/Passitora Ltd. и Senpai.

В прошлом году исследователи из группы анализа угроз Google, которая отслеживает кибератаки, осуществляемые или финансируемые национальными государствами, сообщили, что Predator объединил пять отдельных эксплойтов нулевого дня в один пакет и продал его различным поддерживаемым правительством субъектам. 

Эти покупатели использовали пакет в трех различных кампаниях. Исследователи заявили, что Predator тесно взаимодействует с компонентом Alien, который «живет внутри нескольких привилегированных процессов и получает команды от Predator». Команды включали запись звука, добавление цифровых сертификатов и скрытие приложений.

Большая часть внутренней работы Predator была ранее неизвестна. Это изменилось теперь, когда команда Talos получила ключевые части вредоносного ПО, написанного для устройств Android.

По словам исследователей, основу вредоносного ПО составляют Predator и Alien. Вопреки прежним представлениям, Alien — это больше, чем просто загрузчик Predator. Скорее, он активно реализует низкоуровневые возможности, необходимые Predator для слежки за своими жертвами.

Из сообщения исследователей безопасности:

«Новый анализ Talos раскрыл внутреннюю работу Predator и механизмы, которые он использует для связи с другим шпионским компонентом, развернутым вместе с ним, известным как Alien. Оба компонента работают вместе, чтобы обойти традиционные функции безопасности в операционной системе Android. Наши результаты показывают степень переплетения возможностей между Predator и Alien, доказывая, что Alien — это гораздо больше, чем просто загрузчик для Predator, как считалось ранее».

В проанализированном Talos образце Alien завладел целевыми устройствами, используя пять уязвимостей — CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003, CVE-2021-1048 — первые четыре из которых затронул Google Chrome, а в последнюю — Linux и Android.

Alien и Predator работают совместно, чтобы обойти ограничения в модели безопасности Android, в первую очередь те, которые навязаны защитой, известной как SELinux. Помимо прочего, SELinux на Android тщательно охраняет доступ к большинству сокетов, которые служат каналами связи между различными запущенными процессами и часто используются вредоносными программами.

Один из способов сделать это — загрузить Alien в пространство памяти, зарезервированное для Zygote64, метод, который Android использует для запуска приложений. Этот маневр позволяет вредоносному ПО лучше управлять украденными данными.

Из сообщения исследователей безопасности:

«Сохраняя записанный звук в общей области памяти с помощью Alien, затем сохраняя его на диск и удаляя с помощью Predator, это ограничение можно обойти. Это упрощенное представление процесса — имейте в виду, что Alien внедряется в адресное пространство zygote, чтобы перейти к специализированным привилегированным процессам внутри модели разрешений Android. Поскольку zygote является родительским процессом для большинства процессов Android, он может измениться на большинство UID и перейти в другие контексты SELinux, обладающие другими привилегиями. Таким образом, это делает zygote отличной мишенью для начала операций, требующих нескольких наборов разрешений».

Predator, в свою очередь, опирался на два дополнительных компонента:

Tcore является основным компонентом и содержит основные функции шпионского ПО. Возможности шпионажа включают запись аудио и сбор информации из Signal, WhatsApp* и Telegram и других приложений. 

Периферийные функции включают возможность скрывать приложения и предотвращать выполнение приложений при перезагрузке устройства Kmem, который обеспечивает произвольный доступ для чтения и записи в адресное пространство ядра. 

Этот доступ предоставлен Alien, использующим CVE-2021-1048, что позволяет шпионскому ПО выполнять большинство своих функций.

Глубокое погружение, вероятно, поможет инженерам создать более совершенную защиту для обнаружения шпионского ПО Predator и предотвращения его неправильной работы. Исследователям Talos не удалось получить версии Predator, разработанные для устройств iOS.

*WhatsApp является продуктом корпорации Meta, признанной экстремистской и запрещенной в Российской Федерации.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Злоумышленники отправляют зашифрованные вложения RPMSG из краденных учёток Microsoft 365 для фишинга.
• Google Chat позволит жаловаться на неприемлемые сообщения.
• Данные миллионов пользователей попали в сеть из бесплатной VPN.