Cisco’nun Talos güvenlik ekibinden araştırmacılar, dünyanın dört bir yanındaki hükümetlere satılan akıllı telefon kötü amaçlı yazılımlarının sesli aramaları ve yakındaki sesleri gizlice kaydedebildiğini, Signal ve WhatsApp gibi uygulamalardan veri toplayabildiğini ve uygulamaları gizleyebildiğini veya cihaz yeniden başlatıldığında bunların çalışmasını engelleyebildiğini buldu.
Bir analiz Perşembe günü yayınlanan Talos, Android ve iOS mobil cihazlarına karşı kullanılabilen gelişmiş bir casus yazılım parçası olan Predator’a şimdiye kadarki en ayrıntılı bakışı sunuyor. Predator, Citizen Lab’in bir şirketi olan Cytrox tarafından geliştirilmiştir. söyledi “2019’da ortaya çıkan bir dizi paralı gözetleme satıcısı için bir pazarlama etiketi” olan Intellexa adlı bir ittifakın parçasıdır. Konsorsiyuma ait diğer şirketler arasında Nexa Technologies (eski adıyla Amesys), WiSpear/Passitora Ltd. ve Senpai yer alıyor.
Geçen yıl, Google’ın ulus devletler tarafından gerçekleştirilen veya finanse edilen siber saldırıları izleyen Tehdit Analizi Grubu’ndaki araştırmacılar, Predator’ın beş ayrı sıfır gün istismarı paketi tek bir pakette ve hükümet destekli çeşitli aktörlere sattı. Bu alıcılar, paketi üç farklı kampanyada kullanmaya devam etti. Araştırmacılar, Predator’ın “birden fazla ayrıcalıklı süreçte yaşayan ve Predator’dan komutlar alan” Alien olarak bilinen bir bileşenle yakın çalıştığını söyledi. Komutlar ses kaydetmeyi, dijital sertifika eklemeyi ve uygulamaları gizlemeyi içeriyordu.
Bu arada Citizen Lab, Predator’ın Ermenistan, Mısır, Yunanistan, Endonezya, Madagaskar, Umman, Suudi Arabistan ve Sırbistan gibi ülkelerden çok çeşitli hükümet aktörlerine satıldığını söyledi. Citizen Lab, Predator’ın Türkiye’de sürgünde yaşayan Mısırlı siyasi muhalefetin bir üyesi olan Ayman Nour’u ve popüler bir haber programına ev sahipliği yapan ve adının gizli kalmasını isteyen sürgündeki Mısırlı bir gazeteciyi hedef almak için kullanıldığını söyledi.
Şimdiye kadar bilinmeyen
Predator’ın iç işleyişinin çoğu daha önce bilinmiyordu. Artık Talos, Android cihazlar için yazılan kötü amaçlı yazılımın önemli kısımlarını ele geçirdiği için bu durum değişti.
Talos’a göre kötü amaçlı yazılımın omurgasını Predator ve Alien oluşturuyor. Önceki anlayışların aksine Alien, yalnızca bir Predator yükleyiciden daha fazlasıdır. Bunun yerine, Predator’ın kurbanlarını gözetlemek için ihtiyaç duyduğu düşük seviyeli yetenekleri aktif olarak uygular.
Perşembe günkü gönderide, “Talos’un yeni analizi, PREDATOR’un iç işleyişini ve onunla birlikte dağıtılan ‘ALIEN’ olarak bilinen diğer casus yazılım bileşeniyle iletişim kurmak için kullandığı mekanizmaları ortaya çıkardı” dedi. “Her iki bileşen de, Android işletim sistemindeki geleneksel güvenlik özelliklerini atlamak için birlikte çalışır. Bulgularımız, PREDATOR ve ALIEN arasındaki yeteneklerin iç içe geçmesinin boyutunu ortaya koyuyor ve ALIEN’in daha önce sanıldığı gibi PREDATOR için bir yükleyiciden çok daha fazlası olduğunun kanıtını sunuyor.”
Talos’un analiz ettiği örnekte Alien, ilk dördü olan CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003, CVE-2021-1048 olmak üzere beş güvenlik açığından yararlanarak hedeflenen cihazları ele geçirdi. bunlardan Google Chrome’u ve son olarak Linux ve Android’i etkiledi.
Alien ve Predator, Android güvenlik modelindeki kısıtlamaları, özellikle de SELinux olarak bilinen bir koruma tarafından uygulanan kısıtlamaları aşmak için el ele çalışır. Diğer şeylerin yanı sıra, Android’deki SELinux, çalışan çeşitli işlemler arasında iletişim kanalları görevi gören ve genellikle kötü amaçlı yazılımlar tarafından kötüye kullanılan çoğu sokete erişimi yakından korur.
Bunu yapmanın bir yöntemi, Alien’ı Android’in uygulamaları başlatmak için kullandığı yöntem olan Zygote64 için ayrılan bellek alanına yüklemektir. Bu manevra, kötü amaçlı yazılımın çalınan verileri daha iyi yönetmesini sağlar.
Talos araştırmacıları, “Kaydedilen sesi ALIEN kullanarak paylaşılan bir bellek alanında depolayıp ardından diske kaydedip PREDATOR ile dışarı sızdırarak, bu kısıtlama atlanabilir” diye yazdı. “Bu, sürecin basitleştirilmiş bir görünümüdür; ALIEN’in, Android izin modeli içindeki özel ayrıcalıklı işlemlere dönüşmesi için zigot adres alanına enjekte edildiğini unutmayın. Zigote, Android işlemlerinin çoğunun ana işlemi olduğundan, çoğu UID’ye geçebilir ve farklı ayrıcalıklara sahip diğer SELinux bağlamlarına geçiş yapabilir. Bu nedenle, bu, zigotu birden çok izin gerektiren işlemlere başlamak için harika bir hedef haline getiriyor.”
Predator ise iki ek bileşene güvendi:
- Tcore ana bileşendir ve temel casus yazılım işlevselliğini içerir. Casusluk yetenekleri, Signal, WhatsApp ve Telegram ve diğer uygulamalardan ses kaydetmeyi ve bilgi toplamayı içerir. Çevre birimi işlevleri, uygulamaları gizleme ve aygıt yeniden başlatıldığında uygulamaların yürütülmesini önleme becerisini içerir.
- Çekirdek adres alanına keyfi okuma ve yazma erişimi sağlayan Kmem. Bu erişim, casus yazılımın işlevlerinin çoğunu yürütmesine izin veren CVE-2021-1048’den yararlanan Alien sayesinde sağlanır.
Derinlemesine inceleme, mühendislerin Predator casus yazılımını tespit etmek ve tasarlandığı gibi çalışmasını önlemek için daha iyi savunmalar oluşturmasına büyük olasılıkla yardımcı olacaktır. Talos araştırmacıları, iOS cihazlar için geliştirilen Predator sürümlerini elde edemedi.
Kaynak : https://arstechnica.com/?p=1942660