Эволюция мобильного вредоноса демонстрирует особые сложности в борьбе с коммерческим кибершпионажем.
Исследователями Cisco Talos был опубликован очередной анализ коммерческого шпионского ПО «Predator». Специалисты выявили ряд изменений в функционале вредоносной мобильной программы, от которых она стала ещё опаснее.
Predator, который может атаковать как Android, так и iOS устройства, был описан экспертами как «система удалённого мобильного извлечения данных», которая продаётся по модели лицензирования стоимостью буквально в миллионы долларов. Точные затраты на приобретение лицензии зависят от эксплойта, используемого для первоначального доступа, а также количества одновременно возможных заражений.
Начинающие киберпреступники не могут позволить себе такую роскошь, а вот продвинутые APT-группировки, имеющие в загашнике определённый запас денежных средств, действительно оплачивают доступ к Predator, чтобы сделать свои атаки ещё разрушительнее.
В последнем отчёте Talos исследователи отметили, что Android-версия Predator относительно недавно получила возможность сохранения своей активности после перезагрузки устройства, в то время как iOS-версия сразу обладала таким функционалом. Тем не менее, и такой функционал тоже оплачивается отдельно.
Predator является продуктом консорциума под названием Intellexa Alliance, в который входит компания Cytrox (впоследствии приобретённая WiSpear), Nexa Technologies и Senpai Technologies. И Cytrox, и Intellexa в июле 2023 года были добавлены США в чёрный список юридических лиц — как раз за причастность к созданию шпионского софта Predator.
В своём прошлом отчёте исследователи Talos подробно описали внутреннюю работу Predator и его гармоничное сочетание с другим компонентом загрузчика под названием «Alien».
«Alien имеет решающее значение для успешного функционирования Predator, включая дополнительные компоненты, загружаемые программой по требованию», — объяснили эксперты.
Другой ключевой аспект бизнес-модели Intellexa Alliance заключается в том, что она перекладывает работу по настройке инфраструктуры атаки на самих клиентов, сводя к минимуму взаимодействие с ними, и оставляя возможность правдоподобного отрицания причастности разработчиков вредоноса к реальных хакерским атакам.
В Cisco Talos отметили, что, хотя публичное разоблачение Intellexa Alliance всё же произошло, этот факт слабо повлиял на операционную деятельность причастных компаний. Они всё ещё функционируют и предоставляют свои услуги как правительственным организациям из разных стран, так и частным хакерским объединениям.
Этот случай демонстрирует, насколько сложно остановить компании, занимающиеся коммерческой шпионской деятельностью. Другой яркий пример такой компании — знаменитая NSO Group с её шпионским софтом Pegasus.
Даже если такие компании публично разоблачают и вносят в санкционные списки, они всё равно находят лазейки в законодательстве и продолжают разрабатывать и распространять опасные инструменты слежки и шпионажа. А с внедрением новых функций по типу описанного сохранения работы после перезагрузки их вредоносный софт становится в разы опаснее.
Эффективно бороться с такими угрозами могут только объединённые усилия мирового сообщества по введению жёсткого контроля в этой сфере и пресечению деятельности подобных структур.
Одно найти легче, чем другое. Спойлер: это не темная материя