Kanada’daki kar amacı gütmeyen Citizen Lab’in yardımıyla Cisco Talos tarafından yapılan analize göre, Android Predator casus yazılımı önceden şüphelenilenden daha fazla gözetleme yeteneğine sahip.
Predator ve yükleyicisi Alien, en az 2019’dan beri piyasada ve şimdi Intellexa olarak adlandırılan Cytrox tarafından geliştirilen daha büyük bir paketin parçası. İçine yerleştirildiği cihazlarda casusluk yapmak ve bu cihazlardan veri çıkarmak için tasarlanan yazılım, Google Android ve Apple iOS için kullanılabilir.
Kodun Android sürümünü inceleyen Perşembe günü yayınlanan derin incelemesinde, Talos önerir Alien, bir Predator için bir yükleyiciden daha fazlasıdır ve bu ikisi, güvenliği ihlal edilmiş cihazlarda her türlü casusluk ve istihbarat toplama faaliyetini etkinleştirmek için birlikte çalışır.
Araştırmacılar, “Birlikte kullanıldığında, bu bileşenler çeşitli bilgi çalma, gözetleme ve uzaktan erişim yetenekleri sağlıyor” dedi.
Bu, telefon aramalarından ve VoIP uygulamalarından ses kaydetmeyi içerir; Signal, WhatsApp ve Telegram’dan veri çalmak; ve hatta uygulamaları gizlemek veya bir cihaz yeniden başlatıldıktan sonra bunların çalışmasını engellemek.
Ancak Talos, casus yazılımın tüm bileşenlerine erişimlerinin olmadığını kabul ediyor, bu nedenle kodun tam olarak incelenmesi olmadan “bu yetenek listesinin ayrıntılı olarak değerlendirilmemesi gerektiğini” ekliyorlar. Yine de Talos, gözetim yeteneklerinin coğrafi konum izleme, kamera erişimi ve telefonun kapalı görünmesini sağlamayı içerdiğini teorileştiriyor – bu da bir kurbanı bilgisi olmadan gözetlemeyi kolaylaştırıyor.
Snoopware gibi Pegasuskurbanların cihazlarına bulaşmak için sıfır kullanıcı etkileşimi gerektiren Predator ve Alien belgelendi sıfır günleri istismar etmek ve Android telefonlara bulaşmak ve ele geçirmek için diğer güvenlik açıkları.
İlk olarak Alien, uygulamaların çatallandığı ve başlatıldığı Zygote Android sürecine enjekte edilir. Bu özel sistem işlemi içinde çalıştıktan sonra, uygulamanın iletişim ve senkronizasyon bileşenlerinin yanı sıra Predator’ın en son sürümünü indirir. Alien ayrıca çalınan ses ve veriler için paylaşılan bellek alanı ve Android güvenlik özelliklerini atlamasına ve tespit edilmekten kaçınmasına yardımcı olacak bir SELinux bağlamı oluşturabilir.
Talos, “Alien sadece bir yükleyici değil, aynı zamanda bir yürütücüdür – birden çok iş parçacığı, Predator’dan gelen komutları okumaya ve bunları yürütmeye devam edecek ve casus yazılıma bazı Android çerçeve güvenlik özelliklerini atlaması için araçlar sağlayacaktır” dedi.
Bu arada Predator, casusluk faaliyetlerini gerçekleştirmek için Python modüllerini ve yerel kodu kullanan bir ELF dosyasıdır. Bunlar arasında isteğe bağlı kod yürütme, mikrofondan, kulaklıktan ve VOIP tabanlı aramalardan ses kaydı, kullanıcı düzeyinde sertifikalar oluşturma ve uygulamaları gizleme veya cihaz yeniden başlatıldığında bunların yürütülmesini engelleme yer alır.
Alien loader ile çalışan casus yazılım aynı zamanda cihaz üreticisini de tanımlar. Samsung, Huawei, Oppo veya Xiaomi tarafından yapıldıysa, implant kurbanın verilerini dışarı sızdırmadan önce mesajlaşma, kişiler, medya, e-posta, sosyal medya ve tarayıcı uygulamaları dahil olmak üzere çeşitli dizinlerdeki içerikleri yinelemeli olarak numaralandıracaktır. Tüm teknik ayrıntılar için Talos raporuna bakın. ®