Os pesquisadores de segurança cibernética tomaram uma decisão olhar de perto no funcionamento interno do spyware Predator, desenvolvido pela empresa Intellexa, com sede em Chipre. Em vez de focar em como o spyware infecta inicialmente um dispositivo, esta pesquisa mais recente foca em como o malware se comporta quando um dispositivo já foi comprometido.
A descoberta mais fascinante envolve os mecanismos que o Trojan usa para ocultar os indicadores da câmera e do microfone do iOS. Ao fazer isso, ele pode espionar secretamente o usuário infectado. Na postagem de hoje, detalhamos o que realmente é o spyware Predator, como o sistema de indicadores do iOS foi projetado para funcionar e como esse malware consegue desativar esses indicadores.
O que é Predator, como funciona e o que… Alien tem a ver com isso
Anteriormente, nos aprofundamos nos spywares comerciais mais notórios que existem em um artigo dedicado – onde discutimos a estrela do post de hoje, o Predator, entre outros. Você pode conferir a postagem anterior para uma análise detalhada desse spyware, mas, por enquanto, aqui está uma rápida atualização sobre o essencial.
O Predator foi originalmente desenvolvido por uma empresa da Macedônia do Norte chamada Cytrox. Posteriormente, foi adquirido pela já mencionada Intellexa, uma empresa registrada em Chipre e de propriedade de um ex-oficial de inteligência israelense – uma colaboração verdadeiramente internacional em jogos de espionagem.
A rigor, o Predator é a segunda metade de uma dupla de spyware projetada para monitorar usuários de iOS e Android. O primeiro componente é denominado Alien; é responsável por comprometer um dispositivo e instalar o Predator. Como você deve ter adivinhado, esses malwares têm o nome do famoso Alienígena vs. Predador franquia.
Um ataque usando o software da Intellexa normalmente começa com uma mensagem contendo um link malicioso. Quando a vítima clica nele, ela é direcionada para um site que aproveita uma cadeia de vulnerabilidades de navegador e sistema operacional para infectar o dispositivo. Para manter a aparência normal e evitar levantar suspeitas, o usuário é então redirecionado para um site legítimo.
Além do Alien, a Intellexa oferece vários outros veículos de entrega para pousar o Predator no dispositivo de um alvo. Estes incluem os sistemas Mars e Júpiter, que são instalados no lado do provedor de serviços para infectar dispositivos através de um homem do meio ataque.
O spyware Predator para iOS vem com uma ampla variedade de ferramentas de vigilância. Mais notavelmente, ele pode gravar e transmitir dados da câmera e do microfone do dispositivo. Naturalmente, para evitar que o usuário detecte essa atividade suspeita, os indicadores de gravação integrados do sistema – os pontos verdes e laranja na parte superior da tela – devem ser desativados. Embora já se saiba há algum tempo que o Predator poderia de alguma forma ocultar esses alertas, é somente graças a essa pesquisa que sabemos exatamente como ele consegue fazer isso.
Como funciona o sistema indicador de câmera e microfone do iOS
Para entender como o Predator desativa esses indicadores, primeiro precisamos ver como o iOS lida com eles. Desde o lançamento do iOS 14 em 2020, os dispositivos Apple têm usuários alertados sempre que o microfone ou a câmera estiver ativo, exibindo um ponto laranja ou verde na parte superior da tela. Se ambos estiverem em execução simultaneamente, apenas o ponto verde será mostrado.
No iOS 14 e posterior, um ponto laranja aparece na parte superior da tela quando o microfone está em uso. Fonte
Assim como outros elementos da interface do usuário do iOS, os indicadores de gravação são gerenciados por um processo chamado SpringBoardque é responsável pela IU de todo o sistema do dispositivo. Quando um aplicativo começa a usar a câmera ou o microfone, o sistema registra a alteração no estado desse módulo específico. Esses dados de atividade são então coletados por um componente interno do sistema, que passa as informações ao SpringBoard para processamento. Depois que o SpringBoard recebe a notícia de que a câmera ou microfone está ativo, ele ativa ou desativa o ponto verde ou laranja com base nesses dados.
Se a câmera estiver em uso (ou a câmera e o microfone estiverem), um ponto verde aparecerá. Fonte
Da perspectiva de um aplicativo, o processo funciona assim: primeiro, o aplicativo solicita permissão para acessar a câmera ou microfone por meio do mecanismo de permissão padrão do iOS. Quando o aplicativo realmente precisa usar um ou ambos os módulos, ele chama a API do sistema iOS. Caso o usuário tenha concedido permissão, o iOS ativa o módulo solicitado e atualiza automaticamente o indicador de status. Esses indicadores são rigorosamente controlados pelo sistema operacional; aplicativos de terceiros não têm acesso direto a eles.
Como o Predator interfere nos indicadores de câmera e microfone do iOS
Pesquisadores de segurança cibernética analisaram uma versão capturada do Predator e descobriram vestígios de múltiplas técnicas usadas pelos criadores do spyware para contornar os mecanismos integrados do iOS e desativar os indicadores de gravação.
Na primeira abordagem – que parece ter sido usada durante o desenvolvimento inicial – o malware tentou interferir nos indicadores no estágio de exibição logo após o SpringBoard receber a notícia de que a câmera ou microfone estava ativo. No entanto, este método provavelmente foi considerado muito complexo e pouco confiável pelos desenvolvedores. Como resultado, esta função específica permanece no Trojan como código morto – ela nunca é realmente executada.
No final das contas, o Predator optou por um método mais simples e eficaz que opera no mesmo nível em que o sistema recebe dados sobre a câmera ou microfone sendo ligado. Para fazer isso, o Predator intercepta a comunicação entre o SpringBoard e o componente específico responsável pela coleta de dados de atividades desses módulos.
Ao explorar as características específicas do Objective-C — a linguagem de programação usada para escrever o aplicativo SpringBoard — o malware bloqueia completamente os sinais que indicam que a câmera ou o microfone foram ativados. Como resultado, o SpringBoard nunca recebe o sinal de que o status do módulo mudou, portanto nunca aciona os indicadores de gravação.
Como diminuir o risco de infecção por spyware
O spyware de nível predador é bastante caro e normalmente reservado para espionagem industrial de alto risco ou patrocinada pelo Estado. Por um lado, isto significa que é difícil defender-se contra uma ameaça de tão alto nível – e alcançar 100% de proteção é provavelmente impossível. Por outro lado, pelas mesmas razões, é estatisticamente improvável que o utilizador médio seja alvo.
No entanto, se você tiver motivos para acreditar que está sob risco de spyware da classe Predator ou Pegasus, aqui estão algumas etapas que você pode seguir para tornar o trabalho de um invasor muito mais difícil:
- Não clique em links suspeitos de remetentes desconhecidos.
- Atualize regularmente seu sistema operacional, navegadores e aplicativos de mensagens.
- Reinicie seu dispositivo ocasionalmente. Muitas vezes, uma simples reinicialização pode ajudar a “perder o controle”, forçando os invasores a reinfectar o dispositivo do zero.
- Instale um solução de segurança confiável em todos os dispositivos que você usa.
Para saber mais sobre como se manter seguro, confira a postagem do especialista em segurança Costin Raiu: Ficando protegido contra Pegasus, Chrysaor e outros malwares móveis APT.
Curioso sobre outras maneiras pelas quais seu smartphone pode ser usado para espionar você? Confira nossas postagens relacionadas:
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.