Последното разследване на Inside Story, Haaretz и WAV Research Collective разкрива нов, мощен метод за заразяване чрез зловреден софтуер от шпионския оператор Intellexa. Известният Predator spyware използва механизъм, наречен Aladdin, който позволява на атакуващите да компрометират конкретни цели само чрез показване на зловредна реклама, без потребителят да кликне върху нея.
Разследването се базира на „Intellexa Leaks“ – колекция от вътрешни документи и маркетингови материали на компанията, и е потвърдено чрез технически анализ от Amnesty International, Google и Recorded Future.
Как работи Aladdin
Aladdin се възползва от комерсиалната мобилна рекламна система, като насочва зловредни реклами към определени цели, идентифицирани чрез публичния им IP адрес и други показатели. Рекламите се доставят чрез платформите за заявки (Demand Side Platforms) и могат да се появят на всякакви сайтове и мобилни приложения, включително такива, на които потребителят има доверие.
Дори просто гледане на рекламата е достатъчно за заразяване на устройството, без необходимост от клик.
Мрежа от компании и глобално разпространение
Зловредните реклами преминават през сложна международна мрежа от рекламни компании, разположени в Ирландия, Германия, Швейцария, Гърция, Кипър, ОАЕ и Унгария.
Разследването на Recorded Future свързва инфраструктурата с ключови лица и фирми, разкривайки широката география и задкулисни схеми, използвани за прикриване на операциите.
Допълнителни вектори: Triton, Thor и Oberon
Освен Aladdin, Intellexa разполага с други механизми за доставка на Predator:
-
Triton – насочен към устройства Samsung Exynos, използвайки експлойти за базовата станция и принуждавайки 2G понижения за успешна инфекция.
-
Thor и Oberon – предполага се, че включват радио комуникации или физически достъп, въпреки че подробности за тяхното използване остават ограничени.
Google потвърждава Intellexa като един от най-активните комерсиални доставчици на шпионски софтуер, отговорен за 15 от 70 случая на zero-day експлойти между 2021 и 2025 г.
Защита и препоръки за потребителите
Потребителите могат да предприемат някои мерки за минимизиране на риска:
-
Блокиране на реклами в браузъра
-
Скриване на публичния IP от проследяващи системи
-
Използване на Advanced Protection на Android
-
Активиране на Lockdown Mode на iOS
Въпреки санкции и разследвания срещу Intellexa в Гърция, компанията остава активна, а Predator продължава да се развива, ставайки все по-труден за откриване и проследяване.
