توصل باحثون من فريق تالوس الأمني في سيسكو إلى أن البرامج الضارة للهواتف الذكية التي يتم بيعها للحكومات في جميع أنحاء العالم يمكن أن تسجل خلسة المكالمات الصوتية والصوت القريب ، وجمع البيانات من تطبيقات مثل Signal و WhatsApp ، وإخفاء التطبيقات أو منعها من التشغيل عند إعادة تشغيل الجهاز.
يوفر تحليل Talos الذي نُشر يوم الخميس نظرة أكثر تفصيلاً حتى الآن على Predator ، وهو جزء من برامج التجسس المتقدمة التي يمكن استخدامها ضد أجهزة Android و iOS المحمولة. تم تطوير Predator بواسطة Cytrox ، وهي شركة قال Citizen Lab إنها جزء من تحالف يسمى Intellexa ، “علامة تسويق لمجموعة من بائعي المراقبة المرتزقة التي ظهرت في عام 2019.” تشمل الشركات الأخرى التي تنتمي إلى الكونسورتيوم Nexa Technologies (المعروفة سابقًا باسم Amesys) و WiSpear / Passitora Ltd. و Senpai.
في العام الماضي ، أفاد باحثون من مجموعة تحليل التهديدات التابعة لجوجل ، التي تتعقب الهجمات الإلكترونية التي نفذتها أو تمولها الدول القومية ، أن بريداتور جمعت خمسة ثغرات منفصلة ليوم الصفر في حزمة واحدة وباعها إلى جهات فاعلة مختلفة مدعومة من الحكومة. ذهب هؤلاء المشترون لاستخدام الحزمة في ثلاث حملات متميزة. وقال الباحثون إن بريداتور عمل عن كثب مع مكون يعرف باسم Alien ، والذي “يعيش داخل عمليات ذات امتياز متعددة ويتلقى أوامر من بريداتور”. تضمنت الأوامر تسجيل صوتي وإضافة شهادات رقمية وإخفاء التطبيقات.
في غضون ذلك ، قال Citizen Lab ، إنه يتم بيع Predator لمجموعة واسعة من الجهات الحكومية من دول بما في ذلك أرمينيا ومصر واليونان وإندونيسيا ومدغشقر وعمان والمملكة العربية السعودية وصربيا. واستطرد سيتيزن لاب ليقول إن بريداتور استُخدم لاستهداف أيمن نور ، عضو المعارضة السياسية المصرية المقيم في المنفى في تركيا ، والصحفي المصري المنفي الذي يقدم برنامجًا إخباريًا شهيرًا ويرغب في عدم الكشف عن هويته.
غير معروف حتى الآن
كانت معظم الأعمال الداخلية لـ Predator غير معروفة سابقًا. لقد تغير ذلك الآن بعد أن حصل Talos على أجزاء رئيسية من البرامج الضارة المكتوبة لأجهزة Android.
وفقًا لتالوس ، فإن العمود الفقري للبرامج الضارة يتكون من Predator و Alien. على عكس التفاهمات السابقة ، فإن Alien هو أكثر من مجرد محمل لـ Predator. بدلاً من ذلك ، فإنه ينفذ بنشاط القدرات منخفضة المستوى التي يحتاجها بريداتور للبقاء على قيد الحياة من ضحاياها.
“كشف تحليل جديد من Talos عن الأعمال الداخلية لـ PREDATOR والآليات التي يستخدمها للتواصل مع مكون برامج التجسس الآخر المنتشر جنبًا إلى جنب مع المعروف باسم” ALIEN “، جاء في منشور يوم الخميس. يعمل كلا المكونين معًا لتجاوز ميزات الأمان التقليدية على نظام التشغيل Android. تكشف النتائج التي توصلنا إليها عن مدى تشابك القدرات بين PREDATOR و ALIEN ، مما يوفر دليلًا على أن ALIEN هو أكثر بكثير من مجرد أداة تحميل لـ PREDATOR كما كان يُعتقد سابقًا “.
في عينة Talos التي تم تحليلها ، استحوذ Alien على الأجهزة المستهدفة من خلال استغلال خمس نقاط ضعف – CVE-2021-37973 ، و CVE-2021-37976 ، و CVE-2021-38000 ، و CVE-2021-38003 ، و CVE-2021-1048 – الأربعة الأولى التي أثرت على Google Chrome وآخرها Linux و Android.
يعمل Alien و Predator جنبًا إلى جنب لتجاوز القيود في نموذج أمان Android ، وعلى الأخص تلك التي تفرضها الحماية المعروفة باسم SELinux. من بين أشياء أخرى ، تحمي SELinux على Android عن كثب الوصول إلى معظم المقابس ، والتي تعمل كقنوات اتصال بين عمليات التشغيل المختلفة وغالبًا ما يتم إساءة استخدامها بواسطة البرامج الضارة.
تتمثل إحدى طرق القيام بذلك في تحميل Alien في مساحة الذاكرة المحجوزة لـ Zygote64 ، وهي الطريقة التي يستخدمها Android لبدء تشغيل التطبيقات. تسمح هذه المناورة للبرامج الضارة بإدارة البيانات المسروقة بشكل أفضل.
كتب باحثو تالوس: “من خلال تخزين الصوت المسجل في منطقة ذاكرة مشتركة باستخدام ALIEN ، ثم حفظه على القرص وإفراغه باستخدام PREDATOR ، يمكن تجاوز هذا التقييد”. هذه نظرة مبسطة للعملية – ضع في اعتبارك أن ALIEN يتم حقنها في مساحة عنوان zygote للتركيز على العمليات ذات الامتياز المتخصصة داخل نموذج إذن Android. نظرًا لأن zygote هي العملية الأم لمعظم عمليات Android ، فيمكن أن تتغير إلى معظم UIDs والانتقال إلى سياقات SELinux الأخرى التي تمتلك امتيازات مختلفة. لذلك ، فإن هذا يجعل zygote هدفًا رائعًا لبدء العمليات التي تتطلب مجموعات متعددة من الأذونات “.
اعتمد بريداتور بدوره على عنصرين إضافيين:
- Tcore هو المكون الرئيسي ويحتوي على وظائف برامج التجسس الأساسية. تتضمن إمكانيات التجسس تسجيل الصوت وجمع المعلومات من Signal و WhatsApp و Telegram وتطبيقات أخرى. تشمل الوظائف الطرفية القدرة على إخفاء التطبيقات ومنع تنفيذ التطبيقات عند إعادة تشغيل الجهاز.
- Kmem ، الذي يوفر وصولاً تعسفيًا للقراءة والكتابة في مساحة عنوان kernel. يأتي هذا الوصول من باب المجاملة لاستغلال Alien CVE-2021-1048 ، والذي يسمح لبرامج التجسس بتنفيذ معظم وظائفها.
من المحتمل أن يساعد الغوص العميق المهندسين على بناء دفاعات أفضل لاكتشاف برامج التجسس Predator ومنعها من العمل كما هو مُصمم. لم يتمكن باحثو Talos من الحصول على إصدارات Predator المطورة لأجهزة iOS.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.