11:24
23/5/2022

Wszyscy wiedzą, czym jest niesławny Pegasus. Ale tego typu rządowych trojanów jest więcej. Na temat jednego z nich, macedońskiego Predatora, wypowiedział się zespół bezpieczeństwa Google. Powodem jest to, że Predatorem ktoś włamuje się na w pełni zaktualizowane Androidy.

Predator na celowniku Google

Google opisało szczegóły trzech kampanii z wykorzystaniem Predatora. Firma potwierdziła, że z Predatora korzystano w takich krajach jak Egipt, Armenia, Grecja, Madagaskar, Serbia, Hiszpania, Wybrzeże Kości Słoniowej i Indonezja. Ale prawdopodobnie nie jest to pełna lista klientów firmy Cytrox, producenta Predatora.

Jak działa Predator?

Predator korzysta z podatności w Androidzie, zarówno tych, których szczegóły już dawno upubliczniono (ale użytkownicy nie wgrali poprawek) jak i nieznanych, czyli tzw. zero dayów. Google przyznało, że przygląda się aż 30 twórcom zerodayów, którzy opracowywane przez siebie exploity sprzedają m.in. twrócom rządowych trojanów.

Opisane przez Google ataki polegały na podesłanie ofierze e-mailem skróconych, jednorazowych linków. Linki kierowały ofiary na odpowiednio spreparowaną stronę, która instalowała “Aliena“, czyli agenta Predatora na smartfonie ofiary.

Na temat Predatora raport opublikował także CitizenLab. Możecie się z nim zapoznać tutaj.

Po infekcji, Predator działa podobnie do każdego innego trojana. Choć w przypadku tego rządowego trojana nie ma takiego szerokiego dostępu do dokumentacji/prezentacji jego możliwości, to należy zakładać, że żaden plik na urządzeniu, ani to co dzieje się w jego okolicy, przestaje być “poufne”.

Android czy iPhone, to nie ma znaczenia

Nagłośnienie Predatora dobrze zrobi tym, którzy po fali doniesień medialnych na temat Pegasusa uważali, że ponieważ wśród ujawnionych ofiar nie było użytkowników Androida, to ten system jest “bezpieczniejszy” lub “niepodatny na inwigilację”. To nieprawda.

Twórcy exploitów tworzą exploity i nie ma dla nich większego znaczenia, kod jakiego systemu lub aplikacji analizują. W każdym kodzie prędzej czy później znajdą jakieś błędy. Kwestia tego, czy istnieje zapotrzebowanie na kod exploita na daną platformę (rozumianą jako sprzęt, system, aplikacje). Im bardziej dziwne konfiguracje, tym większy koszt opracowania takiego ataku. Ale czy mniejsza szansa? Często te mniej popularne platformy, właśnie z racji małej popularności, są mniej dojrzałe, także w kontekście bezpieczeństwa…

Szeroką listę kilkudziesięciu różnych rządowych trojanów / frameworków do exploitowania znajdziecie omawialiśmy w 46 odcinku podcastu Na Podsłuchu.

Mam Androida, co robić, jak żyć?

Wciąż jest większe ryzyko, że typowy obywatel oberwie typowym scamem typu “SMS od PGE” lub zachętą do instalacji lewej aplikacji, niż że jakaś agencja rządowa weźmie go na celownik Predatora/Pegasusa. W pierwszej kolejności warto więc zabezpieczyć się przed atakami masowymi, a potem próbować zabezpieczać się przed bardzo trudnymi w wykryciu i zwalczaniu zerodayami, choć to niestety w zasadzie z góry skazane na porażkę.

Dlatego przede wszystkim dbaj o regularne wgrywanie aktualizacji i myśl przed klikaniem w linki, które ktoś przyśle Ci SMS-em/e-mailem. Rad jak zabezpieczyć Androida jest zdecydowanie więcej, wszystkie je znajdziesz w naszym 2 godzinnym szkoleniu o tym jak zabezpieczyć smartfona z Androidem. Z kodem PREDATOR nagranie tego szkolenia możesz zobaczyć za połowę ceny. Ale tylko jeśli dostęp wykupisz do 23:59. Bez obaw, dostęp do nagrania otrzymujesz na 30 dni, więc na pewno zdążysz zapoznać się z tym materiałem. Kliknij tutaj, aby kupić dostęp do nagrania tego szkolenia.


Aktualizacja 25.05.2022, 11:11
Ze względu na liczne prośby, przedłużyliśmy czas działania kodu dającego zniżkę na nasz webinar do końca piątku.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. Tak właściwie, od strony prawnej, czy Google nie może zaskarżać firm budujących rozwiązania uderzające wprost w ich produkty i infrastrukturę?
    Zdziśka, twórcę trojanów policja złapie i powstrzyma, ale już “Zdzislav cybersecurity consulting limited” swobodnie obraca takim samym produktem?

    • Ty ziomek zdzichu to legenda polskiego tora

    • Tak naprawdę to nie wiemy czy te 0-days zostały odkryte niezależnie od Google, czy równie dobrze Google mogło przygotować te luki lub znając je nie załatać. Dopóki jakiś użytkownik nie zaskarży google, to tak naprawdę koncern nie traci nic na tym że ktoś wyhaczy 100 telefonów na całym świecie a zawsze mogą powiedzieć – kupcie nowszy telefon z androidem 14

  2. Przydałby się Arnold Schwarzenegger, aby ponownie pokonał tego stwora.

    • Wraz z pomysłodawcami zakupu tego narzędzia

  3. Ratunek prosty, kupowac Librem 5 albo PinePhone i instalować PostmarketOS bazujący na Alpine Linux. Wtedy prędzej agencja rządowa popłacze się nim dobierze się do waszego fona bo zero day na androida a na alpine linux to jak zaatakować samemu bezdomnego (android) i w pojedynkę rzucić się na armię ruskich (alpine). W krytycznej sytuacji odcinacie fizycznymi przyciskami moduł kamerki czy łączności i mają problem jeszcze większy.

    • Ja bym już bardziej szedł w kierunku Copperhead OS albo Graphene OS, lepiej wykorzystują wsparcie sprzętowe platformy.

    • Akurat aktualny Android korzysta z mechanizmów SE Linux oraz kilku innych patentów. Jest całkiem dobrze zaprojektowany z punktu widzenia bezpieczeństwa. Postmarket OS jest za to projektem niedojrzałym ktory dopiero od niedawna umożliwiąa dzwonienie z telefonu. Poza tym polityka bezpieczeństwa typowego konsumenckiego Linuxa jest duzo słabsza niż Androida gdzie uzytkownik nawet nie ma dostepu do roota. To ze na androida jest tyle exploitow wynika z tego o czym jest mowa w artykule – zapotrzebowania.

    • na armie ruskich? każdy głupi ich rozjebie. zły przykład :)

  4. Potężny predator – z tym, że najpierw trzeba kliknąć w link i go zainstalować :)

    • Trochę jak “albański wirus komputerowy”.

  5. Sailfish OS

  6. Mój sprzęt nokia E90 działa dobrze. . .
    Tylko ta bateria….

    • No tak, twój telefon nie ma żadnego komunikatora z szyfrowaniem End to End więc wystarczy założyć nasłuch na sieci gsm, nie trzeba ci nic wgrywać :)

  7. “Mam Androida, co robić, jak żyć?”

    Kupowac telefon za telefonem z intensywnoscia palacza odpalajacego kolejny papieros od poprzedniego w nadzieji na troszke wyzszy poziom bezpieczenstwa :p

    Viva giga-tech pseudo monopole, viva wydrenowane portfele, zmarnowany czas, gory smieci i toksyczne wody gruntowe! Trzykroc viva!!!

  8. Wszyscy piszą o odpowiedzialności firm sprzedających inwazyjne oprogramowanie, a dlaczego nikt nie pisze o odpowiedzialności firm sprzedających systemy operacyjne z błędami w kodzie. Skoro są hakerzy wyszukujący luki zero day, to niech Google ich zatrudni.

    • O bug bounty słyszałeś?

    • @Miszal
      Po pierwsze: jakie znaczenie ma bug bounty jesli przestepca przedostaje sie przez “feature” ktora byla jest i pozostanie co najwyzej walnie sie troche ‘szpachli’ ?

      Po drugie: twierdzisz ze jesli dziura zostanie wyslana na bug bounty to rozwiaze sprawe podatnosci – w jaki sposob ?

      Po trzecie: w ilu programach bug bounty uczestniczyles ? znasz chociaz podstawowe zasady ? jak bardzo oplacalne jest oficjalny bug bounty wzgledem sprzedarzy takiej informacji przestepcom (lub co bardziej prawdopodobne legalnym firmom oraz rzadom) czy chociazby robienia czegokolwiek innego wymagajacego podobnych kwalifikacji i zakresu pracu? Zwlaszcza ze podczas bug bounty musza zdarzyc sie dwie rzeczy ktorych nikt nie gwarantuje: to jest znajdziesz dziure i ktos ci za nia zaplaci jakies pieniadze…

    • @Miszel

      Kontynujac wczesniejsza wypowiedz (zakladam, ze w tej chwili czeka jeszcze na zatwierdzenie):
      Bug bounty (pomijajac inicjatywy wewnetrzne) nie jest w mojej opini elementem procesu produkcyjnego tylko wentylem bezpieczenstwa majacym utrzymac jakosc (czyli np. płace i godziny) programowania finansowa *kara* dla firmy jaka jest wyplacanie bug bounties, zanim kiepska jakosc oprogramowania zacznie sprawiac prawdziwe problemy.

      To co widze natomiast, to relacja placy do pracy jest gorsza niz w “karanej” firmie, co skutkuje (nawet motywuje) tym ze ‘bounties’ to luzny outsourcing do kilku specjalistow maksymalizujacych ilosc oraz powtarzalnosc (produkty innych firm), co tworzy obszary w ktorych znajdowanie bledow najzwyczajniej sie nie oplaca, ani dla pracownikow, ani dla “bounty hunterow” co wypacza orginalny koncept bug bounties (gdzie takich obszarow nie ma, poniewaz “kary nie musi oplacac sie placic” skoro chodzi o to zeby jej nie placic wogole).

      TL;DR:
      Z jakiej racji white hat mialby wkladac wysilek za grosze (vs. IQ, kompetencje, czas) w imie wspierania glupich praktyk kiedy moze sprawe olac i robic cokolwiek innego? Dodaj do tego to ze zarobki black hat’a nie zaleza od tego czy system bounties dziala jak powinien i juz wiesz dziury sa i beda i jest w tym sporo winy producentow…

  9. Macie błąd w tekście” “sprzedają m.in. twrócom rządowych trojanów” chyba miało być twórcom.

    i “Opisane przez Google ataki polegały na podesłanie ofierze e-mailem skróconych, jednorazowych linków.” chyba miało być podesłaniu.

    A tak poza tym to dzięki za artykuł :)

    • Tu też jest chyba coś nie tak:
      “Choć w przypadku tego rządowego trojana nie ma takiego szerokiego dostępu do dokumentacji/prezentacji jego możliwości, to należy zakładać, że żaden plik na urządzeniu, ani to co dzieje się w jego okolicy, przestaje być “poufne”.”

      Jeśli żaden plik przestaje być poufny to chyba wszystkie jednak pozostają utajone.

  10. W jaki sposób można na ios zainstalować taki trojan ? W cache safari czy jak ?

Odpowiadasz na komentarz Unixak

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: