Les logiciels malveillants pour smartphones vendus aux gouvernements du monde entier peuvent enregistrer subrepticement les appels vocaux et l’audio à proximité, collecter des données à partir d’applications telles que Signal et WhatsApp, et masquer des applications ou les empêcher de s’exécuter lors du redémarrage de l’appareil, ont découvert des chercheurs de l’équipe de sécurité Talos de Cisco.
Une analyse que Talos a publiée jeudi fournit l’aperçu le plus détaillé à ce jour sur Predator, un logiciel espion avancé qui peut être utilisé contre les appareils mobiles Android et iOS. Predator est développé par Cytrox, une société qui, selon Citizen Lab, fait partie d’une alliance appelée Intellexa, « un label marketing pour une gamme de fournisseurs de surveillance mercenaire qui a émergé en 2019 ». Parmi les autres sociétés appartenant au consortium figurent Nexa Technologies (anciennement Amesys), WiSpear/Passitora Ltd. et Senpai.
L’année dernière, des chercheurs du Threat Analysis Group de Google, qui suit les cyberattaques menées ou financées par des États-nations, ont rapporté que Predator avait regroupé cinq exploits zero-day distincts dans un seul package et l’avait vendu à divers acteurs soutenus par le gouvernement. Ces acheteurs ont ensuite utilisé le package dans trois campagnes distinctes. Les chercheurs ont déclaré que Predator travaillait en étroite collaboration avec un composant connu sous le nom d’Alien, qui « vit à l’intérieur de plusieurs processus privilégiés et reçoit des commandes de Predator ». Les commandes comprenaient l’enregistrement audio, l’ajout de certificats numériques et le masquage d’applications.
Citizen Lab, quant à lui, a déclaré que Predator était vendu à un large éventail d’acteurs gouvernementaux de pays tels que l’Arménie, l’Égypte, la Grèce, l’Indonésie, Madagascar, Oman, l’Arabie saoudite et la Serbie. Citizen Lab a poursuivi en disant que Predator avait été utilisé pour cibler Ayman Nour, un membre de l’opposition politique égyptienne vivant en exil en Turquie, et un journaliste égyptien exilé qui anime une émission d’information populaire et souhaitait rester anonyme.
Inconnu jusqu’à présent
La plupart des rouages de Predator étaient auparavant inconnus. Cela a changé maintenant que Talos a obtenu des éléments clés du logiciel malveillant écrit pour les appareils Android.
Selon Talos, l’épine dorsale du malware se compose de Predator et d’Alien. Contrairement aux idées reçues, Alien est plus qu’un simple chargeur de Predator. Au contraire, il implémente activement les capacités de bas niveau dont Predator a besoin pour surveiller ses victimes.
« Une nouvelle analyse de Talos a révélé le fonctionnement interne de PREDATOR et les mécanismes qu’il utilise pour communiquer avec l’autre composant de logiciel espion déployé avec lui, connu sous le nom de » ALIEN « », a déclaré le message de jeudi. « Les deux composants fonctionnent ensemble pour contourner les fonctions de sécurité traditionnelles du système d’exploitation Android. Nos découvertes révèlent l’étendue de l’imbrication des capacités entre PREDATOR et ALIEN, prouvant qu’ALIEN est bien plus qu’un simple chargeur pour PREDATOR comme on le pensait auparavant.
Dans l’échantillon analysé par Talos, Alien s’est emparé des appareils ciblés en exploitant cinq vulnérabilités—CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003, CVE-2021-1048—les quatre premières dont affecté Google Chrome, et le dernier Linux et Android.
Alien et Predator travaillent main dans la main pour contourner les restrictions du modèle de sécurité Android, notamment celles appliquées par une protection connue sous le nom de SELinux. Entre autres choses, SELinux sur Android protège étroitement l’accès à la plupart des sockets, qui servent de canaux de communication entre divers processus en cours d’exécution et sont souvent abusés par des logiciels malveillants.
Une méthode pour ce faire consiste à charger Alien dans l’espace mémoire réservé à Zygote64, la méthode utilisée par Android pour démarrer les applications. Cette manœuvre permet au logiciel malveillant de mieux gérer les données volées.
« En stockant l’audio enregistré dans une zone de mémoire partagée à l’aide d’ALIEN, puis en l’enregistrant sur disque et en l’exfiltrant avec PREDATOR, cette restriction peut être contournée », ont écrit les chercheurs de Talos. « Il s’agit d’une vue simplifiée du processus – gardez à l’esprit qu’ALIEN est injecté dans l’espace d’adressage zygote pour pivoter vers des processus privilégiés spécialisés à l’intérieur du modèle d’autorisation Android. Étant donné que zygote est le processus parent de la plupart des processus Android, il peut passer à la plupart des UID et passer à d’autres contextes SELinux qui possèdent des privilèges différents. Par conséquent, cela fait de zygote une excellente cible pour commencer des opérations qui nécessitent plusieurs ensembles d’autorisations.
Predator, quant à lui, s’appuyait sur deux composants supplémentaires :
- Tcore est le composant principal et contient la fonctionnalité de base des logiciels espions. Les capacités d’espionnage incluent l’enregistrement audio et la collecte d’informations à partir de Signal, WhatsApp et Telegram, et d’autres applications. Les fonctionnalités périphériques incluent la possibilité de masquer des applications et d’empêcher l’exécution d’applications lors du redémarrage de l’appareil.
- Kmem, qui fournit un accès arbitraire en lecture et en écriture dans l’espace d’adressage du noyau. Cet accès est fourni par Alien exploitant CVE-2021-1048, qui permet au logiciel espion d’exécuter la plupart de ses fonctions.
La plongée en profondeur aidera probablement les ingénieurs à construire de meilleures défenses pour détecter le logiciel espion Predator et l’empêcher de fonctionner comme prévu. Les chercheurs de Talos n’ont pas pu obtenir les versions de Predator développées pour les appareils iOS.