Menos conocido que el muy publicitado Pegasus de NSO, el software espía Predator no es menos formidable. Se encuentra entre las herramientas vendidas a los gobiernos para grabar subrepticiamente llamadas de voz y sonidos ambientales, recopilar datos de aplicaciones como Signal y WhatsApp y ocultar aplicaciones o impedir que funcionen cuando se reinicia el dispositivo. Según el Laboratorio CiudadanoUna asociación que destacó la existencia de Pegasus, Predator fue vendida a Arabia Saudita, Armenia, Egipto, Grecia, Indonesia, Madagascar, el Sultanato de Omán y Serbia. Predator es desarrollado por Cytrox, parte de la alianza Intellexa que comprende Nexa Technologies (anteriormente Amesys), WiSpear/Passitora y Senpai.

A pesar de un primer trabajo de GoogleEl funcionamiento técnico de Predator seguía siendo desconocido. Un equipo de Talos, la división de seguridad de Cisco, lo investigó y entregó su análisis la semana pasada. A partir de una muestra dirigida a Android, confirmaron que Predator trabajó en estrecha colaboración con otro componente llamado Alien. Este fue visto inicialmente como un simple cargador, aunque es capaz de activar habilidades de bajo nivel. "Los dos componentes trabajan juntos para eludir las funciones de seguridad tradicionales del sistema operativo Android", se lee en el informe.

Un cóctel de 5 vulnerabilidades críticas y seguridad de Android eludidas

En la muestra analizada por Talos (solo para Android, no para iOS), Alien se apoderó de los dispositivos específicos explotando cinco vulnerabilidades: CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003, CVE. -2021-1048: los cuatro primeros afectan a Google Chrome y los últimos a Linux y Android. Alien y Predator para sortear las restricciones del modelo de seguridad de Android, incluidas las impuestas por una protección conocida como SELinux. Este último monitorea de cerca el acceso a la mayoría de los sockets, que sirven como canales de comunicación entre varios procesos en ejecución y que a menudo son objeto de abuso por parte del malware. Un método para hacerlo es cargar Alien en el espacio de memoria reservado para Zygote64, el proceso que utiliza Android para iniciar aplicaciones.

Por su parte, Predator se basa en dos componentes: Tcore, la caja de herramientas perfecta para espiar y Kmem. El primero incluye una grabadora de audio, recopilación de información de Signal, WhatsApp y Telegram, además de otras aplicaciones. El segundo proporciona acceso arbitrario de lectura y escritura al espacio de direcciones del kernel. Este acceso lo ofrece Alien, que explota CVE-2021-1048, lo que permite que el software espía realice la mayoría de sus funciones.