Раскрыты секреты шпионского тандема Predator – Alien для Android

Раскрыты секреты шпионского тандема Predator – Alien для Android

Раскрыты секреты шпионского тандема Predator – Alien для Android

Эксперты Cisco Talos и Citizen Lab опубликовали результаты анализа семпла шпионской программы Predator и ее загрузчика Alien. Как оказалось, «Хищник» и «Чужой» тесно взаимодействуют, пытаясь собрать информацию в обход штатных средств защиты Android.

По данным Cisco, коммерческий шпион Predator разработки израильской Intellexa (ранее Cytrox) применяется против правозащитников, журналистов, политиков как минимум с 2019 года. Мобильный зловред обладает гибкой архитектурой, обеспечивающей доставку новых Python-модулей без повторного эксплойта.

Существуют две версии вредоноса: для iOS и Android; для совместного исследования был выбран образец, заточенный под Android. Анализ показал, что он умеет записывать телефонные звонки, собирать информацию из мессенджеров, а также скрывать приложения и предотвращать их исполнение при загрузке ОС.

Функциональность Alien оказалась более богатой, чем у традиционных загрузчиков. Модуль внедряется в ключевой Android-процесс zygote64, скачивает с вшитого адреса библиотеку и дополнительные файлы Predator, активирует их и продолжает работать, обеспечивая взаимодействие шпионских компонентов.

При запуске Alien прежде всего определяет производителя зараженного устройства. Если это Samsung, Huawei, Oppo или Xiaomi, выполняется рекурсивное перечисление папок с этим именем — для последующей кражи пользовательских данных из браузеров, мессенджеров, клиентов имейл и соцсетей.

Вредоносный имплант умеет копировать содержимое конфигурационных файлов, списка контактов и телефонных вызовов, папок мультимедиа. Он также отвечает за обновление Predator , а для сокрытия его модулей ставит хуки на функцию ioctl() биндера Android.

Важной функцией шпиона является обход ограничений SELinux. Зловред использует контекст этого штатного механизма для получения доступа к нужным ему приложениям и файлам жертвы. Абьюз позволяет также скрывать вредоносные команды ioctl в системе: межпроцессное взаимодействие не входит в зону ответственности SELinux.

Многофункциональный модуль Alien также помогает Predator выводить краденые данные: он сохраняет их в общей области памяти перед записью на диск и последующей эксфильтрацией. Этот процесс тоже не вызывает подозрений у SELinux.

 

Сам Predator прибывает в систему в виде ELF-файла и создает среду выполнения Python, облегчающую шпионаж с помощью разнообразных модулей. Во взаимодействии с Alien зловред может выполнять произвольный код, вести аудиозапись, воровать данные, скрываться от обнаружения.

Интересной особенностью Predator является способность подменять SSL-сертификаты для перехвата зашифрованного трафика. Вредонос добавляет свой (кастомный) сертификат на уровне пользователя, чтобы не создавать помех нормальной работе устройства: подобное вмешательство могло бы выдать подмену.

Два модуля шпиона — tcore и kmem — извлечь и изучить не удалось. Первый предположительно используется для отслеживания местоположения зараженного устройства, второй позволяет зловреду повысить привилегии и получить доступ к пространству адресов ядра на чтение и запись.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

80% увольняющихся пытаются прихватить данные компаний

Согласно статистике, полученной по итогам анализа 230 инцидентов, выявленных при пилотном внедрении DLP-системы Solar Dozor в 2024 году, 8 из 10 увольняющихся сотрудников пытаются забрать доступные им информационные активы, в том числе конфиденциальные данные.

Почти в половине случаев (38%) сотрудники, готовящиеся покинуть компанию, стремятся заполучить сведения о клиентах и партнёрах.

Как отмечают в ГК «Солар», подобные данные являются особенно востребованными и представляют повышенный интерес для конкурентов, которые стараются получить их любыми способами. Для этого нередко используются методы внедрения «своих» сотрудников либо попытки получения информации с помощью манипулятивных техник.

На втором месте по популярности находится интеллектуальная собственность, интерес к которой проявляют 22% увольняющихся сотрудников. В отдельных сегментах рынка, таких как IT, фармацевтика и другие отрасли, где ценность интеллектуальных разработок особенно велика, доля подобных попыток еще выше.

Замыкают тройку лидеров маркетинговые материалы, на которые приходится 18% случаев. Утечка этой информации также способна нанести серьёзный финансовый ущерб организации.

В 14% случаев предметом интереса являются материалы, разработка которых требует значительных трудозатрат. Это локальная нормативная база и другая документация, регулирующая внутренние бизнес-процессы компании. Владение такой информацией существенно повышает ценность сотрудника на новом месте работы.

Еще в 8% случаев сотрудники пытаются вынести любую доступную информацию, не разбирая её ценности. В ГК «Солар» отмечают, что именно данная категория представляет наибольшую угрозу, так как таким образом наружу могут попасть крайне чувствительные конфиденциальные сведения, сам факт утечки которых компания узнаёт лишь тогда, когда информация уже стала публичной.

«Если говорить о каналах вывода данных увольняющимися сотрудниками, то чаще всего используются съемные носители и файлообменные сервисы. Эти каналы позволяют выгружать большие массивы информации, включая архивы документов, конструкторскую документацию и стратегические планы. Важно не только контролировать сами каналы передачи данных, но и отслеживать аномальное поведение сотрудников, особенно в нерабочее время. Например, внезапный рост количества файловых операций или повышенный исходящий трафик в вечернее время могут свидетельствовать о попытках несанкционированного выноса информации», — пояснил Дмитрий Мешавкин, руководитель продукта Solar Dozor ГК «Солар».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru