5 Zero-Day-Exploits: Einblicke ins Innenleben des Staatstrojaners Predator
IT-Sicherheitsforscher zeigen erstmals, wie sich die Spyware Predator von Intellexa auf Android-Smartphones einnistet und im großen Stil Daten abgreifen kann.
Cisco Talos, der Ableger für IT-Sicherheit des US-Netzwerkausrüsters Cisco Systems, hat neue Details zur Funktionsweise des Staatstrojaners Predator veröffentlicht. Die Spähsoftware wird vom Konsortium Intellexa mit Sitz in Griechenland beziehungsweise der Tochterfirma Cytrox hergestellt und vertrieben. Bisher war nur bekannt, dass ihre Fähigkeiten der berüchtigten Spyware Pegasus der in Israel beheimateten NSO Group ähneln sollen. Die IT-Sicherheitsforscher geben nun erstmals einen Überblick, wie Predator sich in Smartphones und andere Mobilgeräte mit dem Google-Betriebssystem Android nach der Infektion einnistet und gespeicherte Informationen sowie laufende Kommunikation ausliest.
Beliebigen Code ausgeführt, Abschalten vorgetäuscht
Die von Talos untersuchten Predator-Komponenten legen nahe, dass die Spionagesoftware unter anderem heimlich Sprachanrufe und Audio in der Nähe aufzeichnen, Daten von Anwendungen wie Signal und WhatsApp sammeln und Programme ausblenden oder ihren Start verhindern kann. Laut den Ausführungen der Experten in einem Blogeintrag ist der Staatstrojaner zudem fähig, willkürlichen Quellcode auszuführen, Sicherheitszertifikate hinzuzufügen sowie System- und Konfigurationsdaten auszulesen. In anderen Modulen, die das Team bislang nicht näher unter die Lupe nehmen konnte, dürften ihm zufolge Funktionen wie Standortverfolgung oder Kamerazugriff implementiert worden sein. Es gebe wohl auch eine Option, den Eindruck zu erwecken, dass sich das Telefon ausschaltet.
Schon voriges Jahr legten Forscher der Threat Analysis Group (TAG) von Google dar, dass Predator fünf separate Zero-Day-Exploits zum Ausnutzen bis dato nicht bekannter Schwachstellen bündelt. Dabei handle es sich um die 2021 entdeckten Sicherheitslücken CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003, die alle Googles Browser Chrome betreffen, sowie CVE-2021-1048 in Linux und Android. Die Spyware arbeite eng mit einer Komponente namens Alien zusammen, hieß es schon damals. Diese klinke sich in "mehrere privilegierte Prozesse" ein und erhalte "Befehle von Predator".
Die Talos-Gruppe offenbart nun "das Ausmaß der Verflechtung der Fähigkeiten" zwischen Predator und Alien. Das letztere Modul sorge nicht nur dafür, die eigentliche Spyware zu laden, wie bislang angenommen. Vielmehr arbeiteten beide Bausteine eng zusammen, um herkömmliche Android-Sicherheitsfunktionen wie SELinux zu umgehen.
Weitere Komponenten – SELinux umgangen
Eine Methode dafür ist laut dem Beitrag das Laden von Alien in den für den "Mutterprozess" Zygote reservierten Speicherbereich. Zygote stellt allen Apps bestimmte Systemressourcen zur Verfügung. Dieses Manöver ermöglicht es der Malware, abgefischte Daten besser zu verwalten. Alien werde "in den Zygote-Adressraum injiziert", schreiben die Forscher, "um in spezielle privilegierte Prozesse innerhalb des Android-Berechtigungsmodells zu gelangen". So könne das Modul Nutzerkennungen ändern und mit höheren Berechtigungen in andere SELinux-Kontexte übergehen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Alien und Predator könnten prinzipiell gegen Android- und iOS-Mobilgeräte eingesetzt werden, erklären die Experten. Die von ihnen analysierten Komponenten seien speziell für die Google-Umgebung entwickelt worden. Pendants für das Apple-Betriebssystem hätten ihnen nicht vorgelegen. Zur Rechteausweitung sei die Spyware so konfiguriert, dass sie eine Methode namens Quaileggs verwendet. Diese nutze wahrscheinlich die Schwachstelle CVE-2021-1048 aus, die prinzipiell im September 2020 behoben worden sei. Allerdings seien einige Google Pixel-Telefone bis März 2021 und Samsung-Geräte mindestens bis Oktober 2021 anfällig geblieben.
Das Talos-Team geht davon aus, dass Predator mit tcore und kmem mindestens zwei weitere Komponenten enthält. Letztere werde teils alternativ zu Quaileggs eingesetzt. Das tcore-Python-Modul werde von Loader.py, einem der Kernelemente, geladen, "nachdem alle Initialisierungen abgeschlossen sind". Auf diese Bestandteile hatten die Forscher aber keinen Zugriff.
Trojaner "besonders vielseitig und gefährlich"
Spyware-Anbieter legten großen Wert darauf, die endgültige Nutzlast schwer erkenn-, analysier- und vermeidbar zu machen, erläutert Talos allgemein. Ihnen komme es auf Sequenzen an, "die oft nur wenig oder gar keine Benutzerinteraktion erfordern". Predator gebe es seit mindestens 2019 und sei so konzipiert, dass neue Python-basierte Module bereitgestellt werden können, ohne neue Schwachstellen ausnutzen zu müssen. Das mache den Trojaner "besonders vielseitig und gefährlich". Die Analyse soll Entwicklern helfen, bessere Abwehrtechniken zu entwickeln sowie die Spähsoftware aufzuspüren und ihre Funktionen zu blockieren.
Das Hauptprodukt von Intellexa steht seit vielen Monaten vor allem im Zentrum des griechischen Spähskandals, mit dem sich auch der Pegasus-Untersuchungsausschuss des EU-Parlaments beschäftigte. Den Spyware-Jägern des Citizen Lab an der Uni von Toronto zufolge verkaufte der Hersteller mit israelischen Wurzeln das Programm ebenso etwa an Armenien, Ägypten, Indonesien, Madagaskar, Oman, Saudi-Arabien und Serbien. Hierzulande ist seit Anfang des Jahres bekannt, dass sich die Hackerbehörde Zitis für den Staatstrojaner interessiert.
(tiw)