Pegasus di NSO Group è sicuramente il più noto, ma in commercio ci sono altri spyware che molti governi usano per attività di cyberspionaggio. Uno di essi è Predator, venduto da Intellexa (ex Cytrox), che sfrutta vulnerabilità zero-day di Android. Gli esperti di Cisco Talos hanno descritto il funzionamento del malware.
Predator e Alien: coppia pericolosa
Pegasus sfrutta exploit zero-click per accedere al dispositivo. Lo spyware di Intellexa è invece one-click, dato l’utente deve cliccare sul link ricevuto via email. La catena di infezione prevede l’installazione del loader Alien che viene iniettato nel processo zygote64
di Android.
Alien preleva quindi lo spyware Predator da un server remoto e lo esegue o aggiorna il payload già presente con una nuova versione. Alien svolge anche altre funzioni, come l’uso di processi legittimi per nascondere la presenza del malware e comunicare con Predator, dal quale riceve i comandi. Può inoltre aggirare la protezione del modulo SELinux.
Come ogni spyware commerciale, anche Predator offre un vasto numero di funzionalità. Utilizzando i corrispondenti moduli Python, i cybercriminali possono eseguire codice arbitrario sul dispositivo Android, registrare audio dal microfono, dalle telefonate e dalle chiamate VoIP, aggiungere certificati falsi, impedire l’avvio delle app e ovviamente raccogliere i dati dell’utente da contatti, app di messaggistica, email, browser, social media, immagini, audio e video.
Gli esperti di Cisco Talos hanno elencato solo alcune funzionalità. Altre sono fornite da moduli non ancora analizzati. Sicuramente Predator può anche registrare la posizione geografica e scattare immagini con la fotocamera.