Kilka ciekawostek o zaawansowanym oprogramowaniu szpiegowskim umożliwiającym na zdalne zainfekowanie iPhonów oraz Androidów. Predator.

Pegasus. To hasło budzi dość jednoznaczne skojarzenia: oprogramowanie szpiegowskie, używane również w Polsce. Tymczasem na rynku dostępne jest także inne narzędzie – Predator, o podobnych możliwościach.

Amnesty International dostarczyło właśnie garści szczegółów o całym rozwiązaniu. Panel administracyjny wygląda mniej więcej w ten sposób:

Kolejną ciekawostką jet fakt, że narzędzie stara się nie zostawiać żadnych śladów w trakcie infekcji telefonu – co znacznie utrudnia analizę całości:

The Intellexa alliance’s mobile spyware, mostly commonly known as “Predator”, is a form of highly invasive spyware that by default gains total access to all data stored or transmitted from the target’s device, and that is designed to leave no traces on the target device, which would render any independent audit of potential abuses impossible.  

Wg wyciekniętych w 2022 roku informacji, cena zależy od wielu czynników. W szczególności od – liczby utrzymywanych równoczesnych infekcji, pojemności „magazynku” z kolejnymi infekcjami (każda „kula” to kolejna infekcja) czy lokalizacji geograficznej celów. Poniżej zestawienie opiewające na cenę 8000000EUR

Wg doniesień osobno kolportowana jest licencja na tzw. persystencję (tj. zorganizowanie ataku w ten sposób aby przeżywał restarty telefonu). Jednak w dokumentacji wskazane jest, że infekcja nie przeżyje restartu telefonu do ustawień fabrycznych:

Persistency is offered through an additional license for €3 million euro with support for both iOS and Android, although the 2022 proposal cautions that the persistent infection would not survive a factory reset and would not prevent version updates on the device.

Predator potrafi infekować z wykorzystaniem tzw. ataków 1-click (podrzucanie zainfekowanych linków np. SMSem, ale też za pomocą ataków MiTM (podsłuchu sieciowego) – pisaliśmy o tym ostatnio, a wymaga to zainstalowania odpowiedniej „skrzynki” w porozumieniu z krajowym operatorem telekomunikacyjnym.

Na uwagę zasługuje też moduł Triton, czyli możliwość zdalnego zainfekowania telefonów Samsunga z odległości kilkuset metrów od napastnika (operatora Predatora):

Triton is a zero-click tactical infection product which can be used to compromise Samsung devices in a range of hundreds of meters through their cellular baseband.

Operacja polega na uruchomieniu podstawionej stacji bazowej GSM, która próbuje dokonać downgrade połączenia z 5G/4G/3G do starego 2G:

The attack involves a number of distinct steps. First, an IMSI catcher is used to downgrade target Samsung devices from 5G, 4G or 3G to the legacy 2G protocol.

Taka walizeczka-lewa stacja GSM wygląda mniej więcej tak:

Dalej jest już „prosto” – czyli wysyłka odpowiedniej komunikacji 2G, która powoduje wykonanie kodu na telefonie (w trakcie infekcji jest być wykorzystywana podatność 0day w obsłudze 2G).

~ms