Pegasus nga NSO Group është sigurisht më i njohuri, por ka edhe spyware të tjerë në treg që shumë qeveri i përdorin për aktivitete spiunazhi kibernetik. Njëri prej tyre është Predator, i shitur nga Intellexa (ish Cytrox), i cili shfrytëzon dobësitë e Android zero-day. Ekspertët e Cisco Talos përshkruan se si funksionon malware.
Predator dhe Alien: çift i rrezikshëm
Pegasus përdor shfrytëzime me zero-klikim për të hyrë në pajisje. Spyware i Intellexa-s është në vend të kësaj me një klikim, duke qenë se përdoruesi duhet të klikojë në lidhjen e marrë përmes emailit. Zinxhiri i infeksionit përfshin instalimin e ngarkuesit Alien i cili injektohet në procesin Android zygote64.
Alien pastaj merr spyware-in Predator nga një server në distancë dhe e drejton atë ose përditëson ngarkesën tashmë të pranishme me një version të ri. Alien kryen edhe funksione të tjera, të tilla si përdorimi i proceseve legjitime për të fshehur praninë e malware dhe për të komunikuar me Predatorin, nga i cili merr komanda. Ai gjithashtu mund të anashkalojë sigurinë e modulit SELinux.
Si çdo spyware komercial, Predator ofron gjithashtu një numër të madh funksionesh. Duke përdorur modulet përkatëse Python, kriminelët kibernetikë mund të ekzekutojnë kode arbitrare në pajisjen tuaj Android, të regjistrojnë audio nga mikrofoni, thirrjet telefonike dhe thirrjet VoIP, të shtojnë certifikata false, të bllokojnë nisjen e aplikacioneve dhe natyrisht të mbledhin të dhëna të përdoruesit nga kontaktet, mesazhet e aplikacioneve, emailet, shfletues, media sociale, imazhe, audio dhe video.
Ekspertët e Cisco Talos kanë renditur vetëm disa veçori. Të tjerat ofrohen nga module të pa analizuara ende. Me siguri Predator mund të regjistrojë edhe vendndodhjen gjeografike dhe të bëjë fotografi me kamerën.
Discussion about this post