Вышло масштабное совместное расследование на базе Intellexa Le | SecAtor

Вышло масштабное совместное расследование на базе Intellexa Leaks от Inside Story, Haaretz и WAV Research Collective, в котором раскрываются особенности шпионского ПО Predator от Intellexa и механизм ZeroClick-заражения через вредоносную рекламу, получивший название Aladdin.

Как сообщается, Aladdin был впервые развернут в 2024 году, до сих пор функционирует и активно развивается.

Он задействует коммерческую систему мобильной рекламы для доставки вредоносного ПО.

Механизм принудительно показывает вредоносную рекламу определенным целям, идентифицированным по их публичному IP и другим идентификаторам через размещение посредством Demand Side Platform (DSP) на любом сайте, участвующем в рекламной сети.

Как отмечает Amnesty International, эта вредоносная реклама может быть размещена на любом веб-сайте, включая новостной портал или мобильное приложение, и выглядит так же, как и любая другая реклама, которую может увидеть получатель.

При этом для заражения целевого устройства достаточно простого просмотра рекламы и нет необходимости кликать по ней. Однако подробностей того, как именно реализуется заражение нет.

Очевидно, что реклама вызывает перенаправление на серверы доставки эксплойтов Intellexa.

Подобные рекламные объявления распространяются через сложную сеть маркетинговых фирм, разбросанных по разным странам, включая Ирландию, Германию, Швейцарию, Грецию, Кипр, ОАЭ и Венгрию.

Признанная желательной в России Recorded Future более подробно изучила рекламную сеть, связав воедино ключевых персон, компании и инфраструктуру, назвав некоторые из них в своем отчете.

Защититься от заражения практически невозможно, но блокировка рекламы в браузере станет хорошим подспорьем.

Еще одной потенциальной мерой защиты могла бы стать настройка браузера на сокрытие публичного IP от трекеров.

Однако просочившиеся документы показывают, что Intellexa по-прежнему может получать информацию от местных операторов мобильной связи в странах дислокации своих клиентов.

Еще одним важным открытием стало подтверждение другого вектора доставки под названием Triton, который реализует атаки на устройства Samsung Exynos с помощью эксплойтов в базовой полосе частот, вызывая понижение сети до 2G, что создает условия для заражения.

В Amnesty International не уверены в том, используется ли этот вектор до сих пор, и отмечают, что существуют два других, возможно, похожих механизма доставки под кодовыми названиями Тор и Oberon, которые, как считается, связаны с радиосвязью или физическим доступом.

исследователи Google также окрестили Intellexa одним из самых высокоуровневых поставщиков коммерческого spyware с точки зрения эксплуатации 0-day.

На него пришлось 15 из 70 случаев эксплуатации нулей, обнаруженных и задокументированных TAG с 2021 года.

Google полагает, что Intellexa разрабатывает собственные эксплойты, а также приобретает цепочки эксплойтов у сторонних организаций для большего охвата всего спектра возможных атак.

По данным Amnesty International, несмотря на санкции и продолжающиеся расследования в отношении Intellexa в Греции, оператор шпионского ПО по-прежнему активен.

Поскольку Predator становится все более агрессивным и скрытным, пользователям рекомендуется рассмотреть возможность включения дополнительной защиты на своих мобильных устройствах, например, Advanced Protection на Android и Lockdown Mode на iOS.