Predator es un spyware comercial de Android comercializado por la compañía israelí Intellexa (anteriormente Cytrox) y documentado por primera vez por el Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) en mayo de 2022 como parte de un análisis sobre los ataques que aprovechan cinco vulnerabilidades diferentes de día cero en los navegadores de Android y Chrome. Sin embargo, una nueva investigación ha descubierto que Predator se implementa de forma simultánea con otro componente de cargador conocido como Alien y tiene más capacidades de espionaje de las que se pensaba.
Dicha investigación ha sido llevada a cabo por la compañía de ciberseguridad Cisco Talos con el apoyo de la organización Citizen Labs. Según revela, Predator y Alien trabajan juntos "para eludir las funciones de seguridad tradicionales en el sistema operativo Android" y son capaces de grabar llamadas y audios, recopilar contactos y mensajes de WhatsApp, Telegram y Signal, así como ocultar aplicaciones y evitar que estas se ejecuten al reiniciar el dispositivo.
Además, sus funcionalidades no se quedan ahí ya que permiten realizar una amplia gama de tareas que abarcan desde el robo de información hasta la vigilancia de los sistemas infectados, incluyendo el acceso a la cámara y a los datos de geolocalización, la ejecución de código arbitrario, además del acceso a los dispositivos de forma remota.
"Una inmersión profunda en ambos componentes de spyware indica que Alien es más que un simple cargador de Predator y configura activamente las capacidades de bajo nivel necesarias para que Predator espíe a sus víctimas", señala Cisco Talos en el informe que ha publicado para compartir las principales conclusiones de su investigación.
Tal y como recuerda la compañía, Predator ha existido desde al menos 2019, cuando se constató que estaba diseñado para conseguir el acceso a nuevos módulos basados en Phyton sin necesidad de explotarlos repetidamente. Pero hasta ahora no se sabía cómo funciona exactamente ni su complementariedad con Alien, "mucho más que un simple cargador para Predator como se pensaba anteriormente".
"Alien no es solo un cargador, sino también un ejecutor: sus múltiples hilos seguirán leyendo comandos provenientes de Predator y ejecutándolos, proporcionando al spyware los medios para eludir algunas de las características de seguridad del modelo de Android", especialmente las que vienen delimitadas por el sistema de protección SELinux en Android, afirma Cisco Talos.
Cómo funciona el tándem Predator-Alien
El informe también detalla el funcionamiento de Predator y Alien. Según explica, primero Alien se infiltra en el espacio de memoria reservado para Zygote64, el proceso mediante el cual Android inicia las aplicaciones que tiene instalada. Una vez se ejecuta dentro de Zygote64, descarga la última versión de Predator, así como los componentes de comunicación y sincronización de la aplicación. Alien también puede crear espacio de memoria compartida para el audio y los datos robados, y un contexto SELinux para ayudarlo a eludir las funciones de seguridad de Android y evitar la detección.
Por su parte, Predator "es un archivo ELF pyfrozen que contiene módulos Python serializados y código nativo utilizado por cualquiera de los módulos incorporados o módulos descargados" para realizar sus actividades de espionaje. Además, trabajando junto a Alien, también puede identificar el fabricante del dispositivo de una lista codificada que incluye a Samsung, Huawei, Xiaomi y Oppo, pudiendo enumerar los contenidos de varios directorios antes de filtrar los datos de la víctima.
La compañía también aclara que las muestras analizadas por sus investigadores fueron diseñadas específicamente para Android, pero advierte que Alien y Predator también se pueden utilizar contra dispositivos iOS y pueden tener otras capacidades todavía desconocidas.