Νέα έρευνα που δόθηκε χθες στη δημοσιότητα δείχνει πως οι χειριστές του spyware Predator της εταιρείας Intellexa διαθέτουν πλέον τη δυνατότητα να γνωρίζουν με ακρίβεια γιατί μια απόπειρα μόλυνσης στόχου απέτυχε, ενώ το κακόβουλο λογισμικό εμφανίζει πολύ πιο εξελιγμένες δυνατότητες αποφυγής εντοπισμού από όσες ήταν έως τώρα γνωστές.
Η ανάλυση πραγματοποιήθηκε από το Jamf Threat Labs (το ερευνητικό τμήμα κυβερνοασφάλειας της εταιρείας Jamf που εξειδικεύεται στην ανάλυση απειλών που στοχεύουν συσκευές της Apple, όπως iPhone, iPad και Mac) το οποίο εξέτασε δείγμα του Predator και διαπίστωσε ότι το spyware χρησιμοποιεί ένα σύστημα κωδικών σφαλμάτων. Το σύστημα αυτό ενημερώνει τους χειριστές για τον λόγο που το spyware δεν εγκαταστάθηκε επιτυχώς, με τον «κωδικό σφάλματος 304» να υποδεικνύει ότι ο στόχος εκτελούσε εργαλεία ασφάλειας ή ανάλυσης.
Όπως σημειώνουν οι ερευνητές Shen Yuan και Nir Avraham, το σύστημα αυτό μετατρέπει τις αποτυχημένες επιθέσεις από «μαύρα κουτιά» σε διαγνωστικά γεγονότα. Όταν ένας χειριστής λαμβάνει τον κωδικό 304, γνωρίζει ότι στο σύστημα του στόχου υπάρχει ενεργή ανάλυση ασφαλείας και όχι ότι απέτυχε να αξιοποιηθεί η αδυναμία της κινητής συσκευής ή ότι η συσκευή ήταν ασύμβατη. Αυτό έχει άμεσες συνέπειες για τα άτομα που στοχοποιούνται, καθώς εργαλεία όπως το Frida οδηγούν το Predator να διακόψει την εγκατάσταση και να επιστρέψει τον συγκεκριμένο κωδικό στους χειριστές, επιτρέποντάς τους να προσαρμόσουν τις επόμενες κινήσεις τους.
Η έρευνα αποκαλύπτει επίσης ότι το Predator εντοπίζει ακόμα και εργαλεία όπως το netstat (ένα εργαλείο γραμμής εντολών που χρησιμοποιείται για την προβολή πληροφοριών σχετικά με τις δικτυακές συνδέσεις μιας συσκευής), κάτι που δείχνει ότι ανησυχεί όχι μόνο για εξειδικευμένους ερευνητές αλλά και για απλούς, ιδιωτικά ευαισθητοποιημένους χρήστες που παρακολουθούν τις δικτυακές τους συνδέσεις. Μια τέτοια ενέργεια αρκεί για να ενεργοποιήσει τους μηχανισμούς ανίχνευσης του spyware. Παράλληλα, το Predator καταστέλλει logs που θα μπορούσαν να αποκαλύψουν απόπειρες μόλυνσης, αφαιρώντας πολύτιμα στοιχεία για τη διερεύνηση επιθέσεων.
Πρόκειται για τη δεύτερη φορά μέσα σε δύο μήνες που ερευνητές αποκαλύπτουν δυνατότητες οι οποίες διαφοροποιούν το Predator από ανταγωνιστικά προϊόντα. Σύμφωνα με το Jamf, τα ευρήματα δείχνουν ότι το spyware στοχεύει τόσο στην αποφυγή εντοπισμού από ερευνητές όσο και από εμπορικά προϊόντα ασφάλειας, αποκαλύπτοντας επίπεδο anti-analysis πιο προηγμένο από ό,τι είχε τεκμηριωθεί έως σήμερα.
Το Predator αναπτύχθηκε αρχικά από την Cytrox, η οποία εξαγοράστηκε το 2018 από τον Tal Dilian, πρώην αξιωματικό στρατιωτικών πληροφοριών του Ισραήλ. Το 2019 ίδρυσε την Intellexa ως ομπρέλα εμπορικής προώθησης πολλαπλών εργαλείων παρακολούθησης, με το Predator να αποτελεί το πιο γνωστό προϊόν της. Το spyware προωθείται σχεδόν αποκλειστικά σε κυβερνήσεις και υπηρεσίες πληροφοριών και θεωρείται από πολλούς αναλυτές πιο ενεργό και προσαρμοστικό από άλλα γνωστά εργαλεία της αγοράς. Η Cytrox όσο και η Intellexa έχουν τεθεί υπό αμερικανικές κυρώσεις.
Τον Δεκέμβριο του 2024, το Google Threat Intelligence Group είχε δημοσιεύσει έρευνα για τον κώδικα του Predator. Η νέα ανάλυση του Jamf, βασισμένη σε διαφορετικό δείγμα, αποκαλύπτει μηχανισμούς που δεν είχαν προηγουμένως τεκμηριωθεί και υπογραμμίζουν την πολυπλοκότητα του λογισμικού.
