Un nuevo análisis reveló que el sofisticado spyware comercial llamado Predator tiene la habilidad de persistir entre reinicios como una «característica adicional» ofrecida a sus clientes dependiendo de las opciones de licencia. Así lo señalaron los investigadores de Cisco Talos Mike Gentile, Asheer Malhotra y Vitor Ventura en un informe compartido con este medio.
A pesar de que en 2021 Predator no pudo sobrevivir a un reinicio en el sistema operativo Android afectado (sí lo hizo en iOS), para abril de 2022 ya estaba siendo ofrecido a los clientes esta capacidad.
El producto de la alianza Intellexa, compuesta por Cytrox (adquirida posteriormente por WiSpear), Nexa Technologies y Senpai Technologies, Predator fue objeto de escrutinio por parte de Talos hace seis meses, cuando se detallaron sus intrincados mecanismos de funcionamiento junto con un componente clave llamado Alien.
Alien es crucial para el éxito operativo de Predator, incluyendo los componentes adicionales cargados por Predator bajo demanda. De acuerdo con Asheer Malhotra, «la relación entre Alien y Predator es extremadamente simbiótica, requiriendo que trabajen continuamente en conjunto para espiar a sus víctimas».
Predator puede afectar tanto a Android como a iOS, y se describe como un «sistema remoto de extracción móvil» que se comercializa en un modelo de licencias que ascienden a millones de dólares dependiendo del exploit utilizado y del número de infecciones simultáneas, lo que lo hace inalcanzable para novatos en el mundo del cibercrimen.
Spyware como Predator y Pegasus, desarrollado por el Grupo NSO, a menudo dependen de cadenas de exploits zero-day en Android, iOS y navegadores web como vectores de intrusión encubiertos. Pero a medida que Apple y Google siguen cerrando las brechas de seguridad, estas cadenas de exploits pueden resultar ineficaces, obligando a los desarrolladores a trabajar arduamente para encontrar nuevas vulnerabilidades.
Es importante destacar que las empresas detrás de las herramientas de vigilancia también pueden adquirir cadenas de exploits enteras o parciales de brokers de exploits y combinarlas para crear un exploit operativo que pueda ser utilizado para violar efectivamente los dispositivos objetivo.
Otro aspecto clave del modelo de negocios de Intellexa es que delega a los clientes mismos el trabajo de configurar su propia infraestructura de ataque, lo que les deja un amplio margen de maniobra para negar su participación si se revele alguna campaña. Tal y como señalan los investigadores de Cisco Talos, «la entrega del hardware de soporte de Intellexa se realiza en un terminal o aeropuerto, utilizando el método de Cost Insurance and Freight (CIF), que es parte del argot de la industria naviera (‘Incoterms’). Este mecanismo permite a Intellexa afirmar que no tienen visibilidad sobre dónde se implantan y localizan los sistemas».
Además, Intellexa posee «un conocimiento de primera mano» sobre si sus clientes están realizando operaciones de vigilancia fuera de sus propias fronteras debido a que las operaciones están intrínsecamente conectadas a la licencia, que por defecto está restringida a un solo prefijo de código de país. No obstante, esta limitación geográfica puede ser flexibilizada por un costo adicional.
Cisco Talos señaló que aunque la exposición pública de actores ofensivos de sector privado y sus campañas ha tenido éxito en los esfuerzos de atribución, ha tenido poco impacto en su habilidad para realizar y expandir su negocio en todo el mundo, incluso si esto afecta a sus clientes, como los gobiernos.
«Esto puede aumentar los costos al obligarlos a comprar o crear nuevas cadenas de exploits, pero estos proveedores parecen haber adquirido con éxito nuevas cadenas, lo que les permite permanecer en el negocio saltando de un conjunto de exploits a otro como medio de acceso inicial», dijeron los investigadores.
«Lo que se necesita es la divulgación pública de análisis técnicos del spyware móvil y muestras tangibles que permitan la escrutinio público del malware. Dichas divulgaciones no solo permitirán un mayor análisis y estimularán los esfuerzos de detección, sino que también impondrán costos de desarrollo a los proveedores para evolucionar constantemente sus implantes».
