Descubren que los 'spyware' Alien y Predator funcionan de forma conjunta para acceder al micrófono en Android

MADRID, 29 (Portaltic/EP)
Investigadores han descubierto que los 'spyware' Alien y Predator funcionan de forma conjunta para robar información de los dispositivos infectados y acceder a datos de geolocalización, así como audio del micrófono del terminal.

Predator es un programa desarrollado por Cytrox, una empresa fundada en 2017, ahora conocida como Intellexa, y que se describe como proveedora de "soluciones cibernéticas operativas", un servicio que incluye la recopilación de información de dispositivos y servicios en la nube.

Los primeros registros de este 'software' malicioso datan de 2019, cuando se vio que estaba diseñado para conseguir el acceso a nuevos módulos basados en Python sin necesidad de explotarlos repetidamente, tal y como recuerda Talos.

Ahora, esta división de ciberseguridad que se encarga de detectar, analizar y proteger los sistemas combinando y analizando los datos de telemetría obtenidos de la red de Cisco, ha explicado el funcionamiento de este 'spyware'.

Concretamente, uno de sus analistas ha descubierto cómo trabaja y cómo se comunica con el otro componente de 'software' espía implementado de forma simultánea con Predator, Alien, que trabajan juntos para eludir las funciones de seguridad tradicionales de Android.

Tras una investigación, se ha concluido que Alien -un troyano bancario que también se utiliza para invadir el dispositivo antes de instalar Predator- "es mucho más que un cargador" para este último, tal y como se pensaba anteriormente.

En primer lugar, Talos retoma una documento de Google publicado en 2021 en el que descrube cinco vulnerabilidades de día cero explotadas para distribuir Alien. Cuatro de ellas (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003) afectaban a Google Chrome y la quinta, CVE-2021-1048, a Linux.

Esta división de ciberseguridad sugiere que, aunque ambos 'spyware' se pueden utilizar para atacar dispositivos iOS y Android, las muestras que analizó habían sido diseñadas específicamente para Android.

Entonces, analizó el método empleado por este 'software', QUAILEGGS, que explotaba una vulnerabilidad (CVE-2021-1048) que le permitía inyectar código en procesos privilegiados, una falla para la que inicialmente se distribuyó un parche de seguridad pero que estuvo presente en móviles Pixel hasta marzo de 2021 y Samsung hasta octubre de ese mismo año.

Talos afirma que Alien y Predator trabajan conjuntamente para eludir las restricciones del modelo de seguridad de Android. Especialmente las que vienen delimitadas por el sistema de protección SELinux en Android.

Para lograrlo, los ciberdelincuentes cargan la variante Alien en el espacio de memoria que se reserva el dispositivo para Zygote64, que da nombre al proceso mediante el cual Android inicia las aplicaciones que tiene instaladas. De ese modo, el 'malware' puede controlar y administrar más fácilmente los datos robados.

De hecho, debido a que Zygote64 es el proceso principal de la mayoría de los procesos de Android, "puede cambiar la mayoría de los UID -identificadores de usuario o User ID-", le convierte en "un gran obejtivo para comenzar operaciones que requieren varios conjuntos de permisos", según los investigadores.

Por tanto, una vez Alien comprueba que se ha cargado en zygote64, descarga Predator -con quien se comunica "a través de transacciones vinculantes"- y se encarga de actualizarlo una vez se aprovecha el 'exploit', a fin de realizar cargas secundarias.

De ese modo, los investigadores han comprobado que Alien no solo se encarga de cargar 'malware', sino que también lo ejecuta. "Sus múltiples subprocesos seguirán leyendo los comandos provenientes de predator y ejecutándolos, proporcionando al 'spyware' los medios para eludir algunas de las características de seguridad del marco de trabajo de Android", subraya este comunicado.

Talos ha puntualizado que cuando ambos 'softwares' espía se utilizan juntos, ofrecen una variedad de métodos para robar información de los sistemas infectados, así como vigilar su contenido y acceder a este de forma remota.

Si bien ha reconocido que tiene capacidades aún desconocidas, sí que ha detectado que Predator es capaz de acceder a datos de geolocalización, grabar el micrófocono y los auriculares del dispositivo y abrir la cámara. Asimismo, Alien también puede leer y ejecutar código desde ubicaciones específicas en el sistema de archivos.