世界中の政府に販売されているスマートフォン マルウェアは、音声通話や周囲の音声を密かに録音し、Signal や WhatsApp などのアプリからデータを収集し、アプリを非表示にしたり、デバイスの再起動時にアプリが実行されないようにしたりできることを Cisco の Talos セキュリティ チームの研究者が発見しました。
アン 分析 木曜日に公開された Talos では、Android および iOS モバイル デバイスに対して使用できる高度なスパイウェアである Predator について、これまでで最も詳細な情報が提供されています。 プレデターは、Citizen Lab が開発した会社 Cytrox によって開発されました。 言った は、「2019 年に登場したさまざまな傭兵監視ベンダーのマーケティング レーベル」である Intellexa と呼ばれるアライアンスの一部です。 このコンソーシアムに属する他の企業には、Nexa Technologies (旧 Amesys)、WiSpear/Passitora Ltd.、Senpai などがあります。
昨年、国家によって実行または資金提供されたサイバー攻撃を追跡する Google の脅威分析グループの研究者らは、プレデターが 5 つの個別のゼロデイ エクスプロイトをバンドル それを単一のパッケージにまとめて、政府支援のさまざまな関係者に販売しました。 これらの購入者は、その後 3 つの異なるキャンペーンでこのパッケージを使用しました。 研究者らは、プレデターは「複数の特権プロセス内に存在し、プレデターからコマンドを受け取る」エイリアンとして知られるコンポーネントと緊密に連携していると述べた。 コマンドには、音声の録音、デジタル証明書の追加、アプリの非表示などが含まれていました。
一方、シチズン・ラボは、プレデターはアルメニア、エジプト、ギリシャ、インドネシア、マダガスカル、オマーン、サウジアラビア、セルビアを含む国の幅広い政府関係者に販売されていると述べた。 シチズン・ラボはさらに、プレデターはトルコに亡命中のエジプト反政府勢力の一員で、人気ニュース番組の司会を務め匿名を希望するエジプト亡命ジャーナリストのアイマン・ヌールを標的にするために利用されたと述べた。
今に至るまで不明
プレデターの内部構造のほとんどはこれまで知られていませんでした。 Talos が Android デバイス用に書かれたマルウェアの主要部分を入手したことで状況は変わりました。
Talos によると、マルウェアのバックボーンは Predator と Alien で構成されています。 これまでの理解に反して、エイリアンは単なるプレデターの装填者ではありません。 むしろ、プレデターが被害者を監視するために必要な低レベルの機能を積極的に実装します。
「Talos からの新しい分析により、PREDATOR の内部動作と、PREDATOR とともに展開される『ALIEN』として知られる他のスパイウェア コンポーネントとの通信に使用されるメカニズムが明らかになりました」と木曜日の投稿には記載されています。 「両方のコンポーネントが連携して、Android オペレーティング システムの従来のセキュリティ機能をバイパスします。 私たちの調査結果は、PREDATORとALIENの間の機能がどの程度織り込まれているかを明らかにし、ALIENがこれまで考えられていたようなPREDATORの単なるローダーではないことを証明しています。」
Talos が分析したサンプルでは、Alien は 5 つの脆弱性(CVE-2021-37973、CVE-2021-37976、CVE-2021-38000、CVE-2021-38003、CVE-2021-1048)を悪用して標的のデバイスを占拠しました。最初の 4 つはそのうち、Google Chrome と最後の Linux および Android に影響を与えました。
Alien と Predator は、Android セキュリティ モデルの制限、特に SELinux として知られる保護によって強制される制限を回避するために協力します。 とりわけ、Android 上の SELinux は、実行中のさまざまなプロセス間の通信チャネルとして機能し、マルウェアによって悪用されることが多いほとんどのソケットへのアクセスを厳重に保護します。
これを行う 1 つの方法は、Android がアプリを起動するために使用する方法である、Zygote64 用に予約されたメモリ領域に Alien をロードすることです。 この手法により、マルウェアは盗まれたデータをより適切に管理できるようになります。
「ALIEN を使用して録音された音声を共有メモリ領域に保存し、それをディスクに保存して PREDATOR で抽出することで、この制限を回避できます」と Talos 研究者は書いています。 「これはプロセスの簡略化された図です。ALIEN が Zygote アドレス空間に挿入されて、Android 権限モデル内の特殊な特権プロセスにピボットされることに留意してください。 zygote はほとんどの Android プロセスの親プロセスであるため、ほとんどの UID に変更し、異なる権限を持つ他の SELinux コンテキストに移行できます。 したがって、zygote は、複数の権限セットを必要とする操作を開始するのに最適なターゲットになります。」
次に、Predator は 2 つの追加コンポーネントに依存しました。
- Tcore は主要なコンポーネントであり、コアのスパイウェア機能が含まれています。 スパイ機能には、音声の録音や、Signal、WhatsApp、Telegram、その他のアプリからの情報収集が含まれます。 周辺機能には、アプリケーションを非表示にし、デバイスの再起動時にアプリケーションが実行されないようにする機能が含まれます。
- Kmem。カーネル アドレス空間への任意の読み取りおよび書き込みアクセスを提供します。 このアクセスは、Alien が CVE-2021-1048 を悪用することによって行われ、スパイウェアがその機能のほとんどを実行できるようになります。
この詳細な調査は、エンジニアがプレデター スパイウェアを検出し、設計どおりに動作しないようにするためのより優れた防御を構築するのに役立つ可能性があります。 Talos の研究者は、iOS デバイス用に開発された Predator のバージョンを入手できませんでした。
