Spyware da Intellexa ganha “telemetria ofensiva”

Novas análises do Jamf Threat Labs mostram que o Predator, spyware comercial da Intellexa, é ainda mais sofisticado do que se imaginava, usando mecanismos de auto‑diagnóstico para aprender com tentativas de infecção que falham e reforçar versões futuras contra detecção e análise.​

Predator, Intellexa e o modelo comercial de spyware

O Predator foi originalmente desenvolvido pela Cytrox e, após a aquisição por Tal Dilian em 2018, passou a ser comercializado sob o guarda‑chuva da Intellexa, focado quase exclusivamente em governos e serviços de inteligência. Hoje ele é visto como mais ativo e adaptativo que o Pegasus, da NSO Group, e tanto a Cytrox quanto a Intellexa já foram sancionadas pelo governo dos EUA devido ao uso abusivo de suas ferramentas de vigilância.​

Taxonomia de erros e anti‑análise granular

Na amostra estudada pela Jamf, os analistas identificaram um componente de anti‑análise (ligado ao módulo CSWatcherSpawner) que ativa uma taxonomia detalhada de códigos de erro sempre que o ataque é abortado. Esses códigos, associados a condições como presença de ferramentas de segurança, uso de proxy HTTP ou ambientes de análise são enviados ao servidor de comando e controle (C2) antes de o malware limpar rastros e encerrar, transformando uma falha de implantação em um evento de diagnóstico para os operadores.​

Lacunas nos códigos e aprendizado contínuo

Os códigos de erro parecem sequenciais, mas contêm lacunas, o que leva a Jamf a suspeitar de reservas para funções futuras, variações específicas de versão ou até um esquema de códigos compartilhado com outros produtos da Intellexa. Seja qual for a explicação, esse desenho estruturado reforça o caráter adaptativo do Predator: cada falha gera feedback preciso para ajuste de exploits, cargas e técnicas de evasão.

Filtros por região e detecção de ambientes de pesquisa

Parte dos checks identificados já havia sido mencionada por pesquisas do Google: o Predator evita rodar em dispositivos configurados com Developer Mode em iOS, funcionalidade voltada a pesquisadores e desenvolvedores. Jamf detalha que, ao detectar esse modo, o spyware assume que o alvo “não é um usuário normal” e aborta a execução; da mesma forma, o código contém lógica para não operar em alvos nos EUA e em Israel, o que pode estar ligado a sanções americanas e ao forte aparato de inteligência cibernética israelense.​

Anti‑forense via manipulação de crash logs

Um achado novo é uma rotina anti‑forense ligada ao mecanismo de reporte de falhas do sistema: quando ocorre um crash que poderia expor o Predator, o malware intercepta e processa — ou apaga — o crash log antes que ele seja sincronizado ou analisado. O alvo principal são evidências de memória, já que crash logs são valiosos para identificar tentativas de exploração; ao suprimir esses registros, o Predator dificulta significativamente o trabalho de equipes de resposta e de pesquisadores.

A corrida entre pesquisadores e desenvolvedores de spyware

Jamf destaca que a presença de funções como o stub is_corellium() indica que os desenvolvedores do Predator acompanham de perto as ferramentas usadas pela comunidade de pesquisa, adaptando o código para evitá‑las. Os detalhes divulgados podem ajudar analistas a ajustar ambientes e técnicas para estudar o spyware com menor risco de detecção, mas é provável que futuras variantes já incorporem contramedidas adicionais, mantendo a “corrida armamentista” entre ofensiva e defesa.