Раскрыты секреты шпионского тандема Predator – Alien для Android

Раскрыты секреты шпионского тандема Predator – Alien для Android

Раскрыты секреты шпионского тандема Predator – Alien для Android

Эксперты Cisco Talos и Citizen Lab опубликовали результаты анализа семпла шпионской программы Predator и ее загрузчика Alien. Как оказалось, «Хищник» и «Чужой» тесно взаимодействуют, пытаясь собрать информацию в обход штатных средств защиты Android.

По данным Cisco, коммерческий шпион Predator разработки израильской Intellexa (ранее Cytrox) применяется против правозащитников, журналистов, политиков как минимум с 2019 года. Мобильный зловред обладает гибкой архитектурой, обеспечивающей доставку новых Python-модулей без повторного эксплойта.

Существуют две версии вредоноса: для iOS и Android; для совместного исследования был выбран образец, заточенный под Android. Анализ показал, что он умеет записывать телефонные звонки, собирать информацию из мессенджеров, а также скрывать приложения и предотвращать их исполнение при загрузке ОС.

Функциональность Alien оказалась более богатой, чем у традиционных загрузчиков. Модуль внедряется в ключевой Android-процесс zygote64, скачивает с вшитого адреса библиотеку и дополнительные файлы Predator, активирует их и продолжает работать, обеспечивая взаимодействие шпионских компонентов.

При запуске Alien прежде всего определяет производителя зараженного устройства. Если это Samsung, Huawei, Oppo или Xiaomi, выполняется рекурсивное перечисление папок с этим именем — для последующей кражи пользовательских данных из браузеров, мессенджеров, клиентов имейл и соцсетей.

Вредоносный имплант умеет копировать содержимое конфигурационных файлов, списка контактов и телефонных вызовов, папок мультимедиа. Он также отвечает за обновление Predator , а для сокрытия его модулей ставит хуки на функцию ioctl() биндера Android.

Важной функцией шпиона является обход ограничений SELinux. Зловред использует контекст этого штатного механизма для получения доступа к нужным ему приложениям и файлам жертвы. Абьюз позволяет также скрывать вредоносные команды ioctl в системе: межпроцессное взаимодействие не входит в зону ответственности SELinux.

Многофункциональный модуль Alien также помогает Predator выводить краденые данные: он сохраняет их в общей области памяти перед записью на диск и последующей эксфильтрацией. Этот процесс тоже не вызывает подозрений у SELinux.

 

Сам Predator прибывает в систему в виде ELF-файла и создает среду выполнения Python, облегчающую шпионаж с помощью разнообразных модулей. Во взаимодействии с Alien зловред может выполнять произвольный код, вести аудиозапись, воровать данные, скрываться от обнаружения.

Интересной особенностью Predator является способность подменять SSL-сертификаты для перехвата зашифрованного трафика. Вредонос добавляет свой (кастомный) сертификат на уровне пользователя, чтобы не создавать помех нормальной работе устройства: подобное вмешательство могло бы выдать подмену.

Два модуля шпиона — tcore и kmem — извлечь и изучить не удалось. Первый предположительно используется для отслеживания местоположения зараженного устройства, второй позволяет зловреду повысить привилегии и получить доступ к пространству адресов ядра на чтение и запись.

Шесть дыр в AirDrop и Quick Share поставили под удар миллиарды устройств

Функции вроде AirDrop и Quick Share создавались для удобства: поднес устройство поближе и отправил файл без проводов, аккаунтов и долгой настройки. Но оказалось, что именно это удобство открывает дополнительную поверхность для атак.

Исследователи из CISPA Helmholtz Center for Information Security обнаружили сразу шесть уязвимостей, затрагивающих экосистемы Apple, Google и Samsung. Под удар попали macOS, iOS, Android и Windows.

По словам авторов исследования, злоумышленнику достаточно находиться в радиусе действия Wi-Fi (обычно от 10 до 30 метров). Предварительное сопряжение устройств, обмен контактами или подключение к одной сети не требуются.

В случае AirDrop специалисты нашли три проблемы, каждая из которых позволяет вывести из строя системный процесс sharingd. А вместе с ним перестают работать не только AirDrop, но и AirPlay, Handoff, Universal Clipboard и Continuity Camera. Один из сценариев позволяет удерживать сервис недоступным, периодически отправляя специально сформированные запросы.

 

Не лучше обстоят дела и с Quick Share. Специалисты обнаружили два логических обхода механизмов защиты, позволяющих обрабатывать часть сообщений еще до завершения проверки подлинности или вовсе без шифрования.

Кроме того, в Windows-клиенте Quick Share выявлена ошибка use-after-free, которая может привести к повреждению памяти. Google уже выплатила вознаграждение за находку и подготовила исправление.

Любопытно, что разработчики Apple и Google пришли к похожим проблемам совершенно разными путями. В AirDrop причиной стали ошибки обработки входящих данных и чрезмерно уязвимые проверки, а в Quick Share — распределение критически важных проверок по отдельным обработчикам и проблемы многопоточности.

Исследователи считают, что проблема носит архитектурный характер. Сервисы обмена файлами вынуждены принимать и разбирать данные от незнакомых устройств еще до завершения аутентификации пользователя. Именно этот этап становится привлекательной целью для атакующих.

Часть обнаруженных проблем уже устранена. Apple сообщила исследователям, что исправила одну из уязвимостей AirDrop и присвоила ей идентификатор CVE, хотя подробности пока не раскрываются. Google также выпустила патч для Windows-версии Quick Share, а остальные найденные проблемы еще находятся в процессе раскрытия.

RSS: Новости на портале Anti-Malware.ru