O spyware Predator, que está no centro do caso que ficou conhecido como Predator Files, ainda é usado em muitos países, de acordo com a fornecedora de sistemas de segurança cibernética Recorded Future.
O spyware foi acusado de espionar jornalistas, políticos e acadêmicos na União Europeia (UE), EUA e Ásia, bem como funcionários das Nações Unidas (ONU), um senador nos EUA e até mesmo os presidentes do Parlamento Europeu e de Taiwan. A descoberta é resultado de uma investigação do Predator Files, um projeto de mídia lançado em setembro de 2023, apoiado pelos jornais Mediapart, na França, e Der Spiegel, na Alemanha, e coordenado pela European Investigative Collaborations (EIC).
A desenvolvedora de spyware, a Cytrox, e sua organização guarda-chuva Intellexa foram associados a violações dos direitos humanos pelo Predator Files.
Agora, um novo relatório publicado na sexta-feira passada, 1º, pelo Insikt Group, a equipe de inteligência de ameaças da Recorded Future, descobriu novas campanhas que utilizam o spyware Predator, direcionadas a telefones celulares em vários países.
Especificamente, os investigadores de ameaças identificaram evidências de uso continuado do Predator em pelo menos 11 países: Angola, Armênia, Botswana, Egito, Indonésia, Cazaquistão, Mongólia, Omã, Filipinas, Arábia Saudita e Trinidad e Tobago. Esta é a primeira vez que o uso do Predator foi identificado em Botswana e nas Filipinas.
No relatório, o Insikt Group descreve uma nova infraestrutura para entrega do Predator, que consiste em servidores de entrega, servidores upstream e a infraestrutura de rede. A empresa avalia que essa nova infraestrutura está “altamente associada aos clientes do Predator”, sugerindo que os operadores de spyware não pararam de vender seus produtos após as denúncias do Predator Files. Em vez disso, continuaram a operar implementando alterações mínimas no seu modus operandi.
A nova infraestrutura multicamadas do Predator inclui:
• Servidores de entrega downstream, provavelmente usados para exploração de dispositivos e acesso inicial. Um recurso de falsificação de domínio direcionado a entidades específicas que podem ser de interesse do alvo para fins de engenharia social
• Um endereço IP de servidor virtual privado (VPS) upstream consistente na porta 10514 do protocolo de controle de transmissão (TCP). Esses servidores upstream são provavelmente usados como pontos de salto para fins de anonimato
• Endereços IP estáticos de provedores de serviços de internet (ISPs) no país vítima, provavelmente associados a clientes do Predator.
Essa infraestrutura é em grande parte semelhante à identificada nos relatórios de 2023 da Anistia Internacional, Citizen Lab e Sekoia. “Embora esses padrões sejam relativamente fáceis de serem identificados pelos pesquisadores de ameaças, essas técnicas, táticas e procedimentos [TTPs] estão presumivelmente produzindo resultados satisfatórios, eliminando a necessidade de mudanças”, concluíram os pesquisadores do Insikt Group.
Essas descobertas estão alinhadas com pesquisas anteriores publicadas pela empresa francesa de inteligência de ameaças Sekoia em 28 de fevereiro, que observou recentemente um aumento significativo no número de domínios maliciosos genéricos associados ao spyware Predator.
Veja isso
Infostealer Predator AI traz risco grave para serviços de nuvem
Spyware usa dia zero para infectar dispositivos Android e iPhones
A Sekoia está entre as empresas que assinaram o Processo Pall Mall, um acordo iniciado pelo Reino Unido e pela França para combater a proliferação e a utilização de capacidades comerciais de intrusão cibernética, incluindo spyware e serviços conhecidos como hackers-for-hire, hackers contratados que oferecem seus serviços para realizar ataques em nome de terceiros ou como um serviço. O acordo foi assinado por 25 países e duas instituições regionais em Londres, em 6 de fevereiro.
O que é spyware Predador?
O Predator é um spyware sofisticado projetado para uso em dispositivos Android e iPhone. Está ativo desde 2019 e foi desenvolvido pela Cytrox, hoje parte da Intellexa. Ele pode ser implantado com ataques de “um clique” ou “clique zero” e deixa rastros mínimos nos telefones celulares em que foi instalado.
Uma vez baixado, o Predator ganha acesso irrestrito ao microfone, câmera e todos os dados armazenados ou transmitidos de um dispositivo, incluindo contatos, mensagens, fotos e vídeos — tudo sem o conhecimento do usuário. Seu design incorpora módulos baseados em Python, facilitando a introdução de novas funcionalidades sem a necessidade de exploração repetida.
Para ter acesso ao relatório completo da Recorded Future (em inglês) sobre o Predator clique aqui.