Cyberthreat.id - Peneliti keamanan di Cisco Talos dan Citizen Lab telah mempresentasikan analisis teknis baru dari spyware Android komersial 'Predator' dan pemuatnya 'Alien', berbagi kemampuan pencurian data dan detail operasional lainnya. Demikian laporan BleepingComputer.

Predator adalah spyware komersial untuk platform seluler (iOS dan Android) yang dikembangkan dan dijual oleh perusahaan Israel Intellexa. Keluarga spyware telah dikaitkan dengan operasi pengawasan yang menargetkan jurnalis, politisi Eropa terkenal, dan bahkan eksekutif Meta.

Dilaporkan, bahwa Spyware dapat merekam panggilan telepon, mengumpulkan informasi dari aplikasi perpesanan, atau bahkan menyembunyikan aplikasi dan mencegah eksekusinya pada perangkat Android yang terinfeksi.

Alien Loader

Pada Mei 2022, menurut laporan BleepingComputer, Google TAG mengungkapkan lima kerentanan zero-day Android yang dirantai oleh spyware Predator untuk melakukan eksekusi kode shell untuk menaklukkan loader Predator 'Alien' pada perangkat yang ditargetkan.

Alien Loader disuntikkan ke proses inti Android bernama 'zygote64' lalu mengunduh dan mengaktifkan komponen spyware tambahan berdasarkan konfigurasi hard-coded.

Alien mengambil komponen Predator dari alamat eksternal dan meluncurkannya di perangkat atau memutakhirkan muatan yang ada dengan versi yang lebih baru jika tersedia.

Setelah itu, Alien terus beroperasi di perangkat, memfasilitasi komunikasi rahasia antara komponen spyware dengan menyembunyikannya dalam proses sistem yang sah dan menerima perintah dari Predator untuk dijalankan sambil melewati keamanan Android (SELinux).

Sebuah bypass SELinux adalah fungsi penting dari spyware, membedakannya dari pencuri info $150-300/bulan dan trojan yang dijual di Telegram.

Cisco menjelaskan bahwa Alien mencapainya dengan menyalahgunakan konteks SELinux yang menentukan pengguna mana dan tingkat informasi apa yang diizinkan pada setiap proses dan objek dalam sistem, menghilangkan batasan yang ada.

Selain itu, Alien mendengarkan perintah "ioctl" (input/output control) untuk komunikasi komponen internal spyware, yang tidak diperiksa SELinux.

Terakhir, Alien menyimpan data dan rekaman yang dicuri di ruang memori bersama, lalu memindahkannya ke penyimpanan, dan akhirnya mengekstraknya melalui Predator. Proses ini tidak memicu pelanggaran akses dan tidak diperhatikan oleh SELinux.

Kemampuan pemangsa

BleepingComputer melanjutkan bahwa Predator adalah modul ujung tombak spyware, tiba di perangkat sebagai file ELF dan menyiapkan lingkungan runtime Python untuk memfasilitasi berbagai fungsi spionase.

Jumlah logging yang dilakukan pada perangkat yang disusupi berubah tergantung pada apakah implan Predator merupakan pengembangan atau versi stabil.

Fungsionalitas yang difasilitasi oleh modul Python Predator, dan dilakukan bersama dengan Alien, termasuk eksekusi kode arbitrer, perekaman audio, peracunan sertifikat, penyembunyian aplikasi, pencegahan eksekusi aplikasi (setelah reboot), dan pencacahan direktori.

Pemuat spyware, Alien, memeriksa apakah itu berjalan pada Samsung, Huawei, Oppo, atau Xiaomi, dan jika ada kecocokan, itu secara rekursif menghitung konten direktori yang menyimpan data pengguna dari email, perpesanan, media sosial, dan aplikasi browser.

Itu juga menghitung daftar kontak korban dan mencantumkan file pribadi di folder media pengguna, termasuk audio, gambar, dan video.

Spyware juga menggunakan peracunan sertifikat untuk menginstal sertifikat khusus ke otoritas sertifikat yang dipercaya pengguna saat ini, memungkinkan Predator untuk melakukan serangan man-in-the-middle dan memata-matai komunikasi jaringan yang dienkripsi TLS.

Cisco berkomentar bahwa Predator berhati-hati dengan kemampuan ini, tidak memasang sertifikat pada tingkat sistem untuk menghindari gangguan pada tingkat operasional perangkat, yang mungkin memberi tahu korban bahwa ada sesuatu yang salah.

“Dari sudut pandang penyerang, risikonya lebih besar daripada hadiahnya, karena dengan sertifikat tingkat pengguna, spyware masih dapat melakukan dekripsi TLS pada komunikasi apa pun di dalam browser,” jelas para peneliti.

Potongan yang hilang

Meskipun Cisco dan Citizen Lab mendalami komponen spyware, para peneliti masih kehilangan detail tentang dua modul, yaitu 'tcore' dan 'kmem,' keduanya dimuat di lingkungan runtime Python Predator.

“Kami menilai dengan keyakinan tinggi bahwa spyware memiliki dua komponen tambahan — tcore (komponen utama) dan kmem (mekanik eskalasi hak istimewa) — tetapi kami tidak dapat memperoleh dan menganalisis modul ini,” jelas laporan Cisco.

Para analis percaya bahwa tcore melakukan pelacakan geolokasi, mengambil gambar dari kamera, atau mensimulasikan perangkat mati.

Hipotesis Cisco untuk modul kmem adalah bahwa ia menyediakan akses baca dan tulis sewenang-wenang ke dalam ruang alamat kernel. Karena tidak ada yang dapat diambil dari perangkat yang terinfeksi, bagian dari spyware Predator Intellexa tetap belum dipetakan.[]