Investigadores descubrieron que los 'spyware' Alien y Predator funcionan de forma conjunta para robar informaci�n de los dispositivos infectados, acceder a datos de geolocalizaci�n y al micr�fono en Android.
Predator es un programa desarrollado por Cytrox, una empresa fundada en 2017, ahora conocida como Intellexa, y que se describe como proveedora de "soluciones cibern�ticas operativas", un servicio que incluye la recopilaci�n de informaci�n de dispositivos y servicios en la nube.�
Los primeros registros de este 'software' malicioso datan de 2019, cuando se vio que estaba dise�ado para conseguir el acceso a nuevos m�dulos basados en Python sin necesidad de explotarlos repetidamente, tal y como recuerda Talos.
�Ahora, esta divisi�n de ciberseguridad que se encarga de detectar, analizar y proteger los sistemas combinando y analizando los datos de telemetr�a obtenidos de la red de Cisco, ha explicado el funcionamiento de este 'spyware'.
Concretamente, uno de sus analistas ha descubierto c�mo trabaja y c�mo se comunica con el otro componente de 'software' esp�a implementado de forma simult�nea con Predator, Alien, que trabajan juntos para eludir las funciones de seguridad tradicionales de Android.�
Tras una investigaci�n, se ha concluido que Alien -un troyano bancario que tambi�n se utiliza para invadir el dispositivo antes de instalar Predator- "es mucho m�s que un cargador" para este �ltimo, tal y como se pensaba anteriormente.�
Mira también
En primer lugar, Talos retoma una documento de Google publicado en 2021 en el que describe cinco vulnerabilidades de d�a cero explotadas para distribuir Alien. Cuatro de ellas (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003) afectaban a Google Chrome y la quinta, CVE2021-1048, a Linux.�
Mira también
Esta divisi�n de ciberseguridad sugiere que, aunque ambos 'spyware' se pueden utilizar para atacar dispositivos iOS yAndroid, las muestras que analiz� hab�an sido dise�adas espec�ficamente para Android.�
Mira también
Entonces, analiz� el m�todo empleado por este 'software', QUAILEGGS, que explotaba una vulnerabilidad (CVE-2021-1048) que le permit�a inyectar c�digo en procesos privilegiados, una falla para la que inicialmente se distribuy� un parche de seguridad pero que estuvo presente en m�viles Pixel hasta marzo de 2021 y Samsung hasta octubre de ese mismo a�o.�
Mira también
Talos afirma que Alien y Predator trabajan conjuntamente para eludir las restricciones del modelo de seguridad de Android. Especialmente las que vienen delimitadas por el sistema de protecci�n SELinux en Android.�
Para lograrlo, los ciberdelincuentes cargan la variante Alien en el espacio de memoria que se reserva el dispositivo para Zygote64, que da nombre al proceso mediante el cual Android inicia las aplicaciones que tiene instaladas. De ese modo, el 'malware' puede controlar y administrar m�s f�cilmente los datos robados.�
De hecho, debido a que Zygote64 es el proceso principal de la mayor�a de los procesos de Android, "puede cambiar la mayor�a de los UID -identificadores de usuario o User ID-", le convierte en "un gran obejtivo para comenzar operaciones que requieren varios conjuntos de permisos", seg�n los investigadores.�
Por tanto, una vez Alien comprueba que se ha cargado en zygote64, descarga Predator -con quien se comunica "a trav�s de transacciones vinculantes"- y se encarga de actualizarlo una vez se aprovecha el 'exploit', a fin de realizar cargas secundarias.�
De ese modo, los investigadores han comprobado queAlien no solo se encarga de cargar 'malware', sino que tambi�n lo ejecuta. "Sus m�ltiples subprocesos seguir�n leyendo los comandos provenientes de predator y ejecut�ndolos, proporcionando al 'spyware' los medios para eludir algunas de las caracter�sticas de seguridad del marco de trabajo de Android", subraya este comunicado.�
Talos ha puntualizado que cuando ambos 'softwares' esp�a se utilizan juntos, ofrecen una variedad de m�todos para robar informaci�n de los sistemas infectados, as� como vigilar su contenido y acceder a este de forma remota. Si bien ha reconocido que tiene capacidades a�n desconocidas, s� que ha detectado que Predator es capaz de acceder a datos de geolocalizaci�n, grabar el micr�fono y los auriculares del dispositivo y abrir la c�mara. Asimismo, Alien tambi�n puede leer y ejecutar c�digo desde ubicaciones espec�ficas en el sistema de archivos.
Con informaci�n de Europa Press.
