Predator spyware, dezvoltat de gruparea Intellexa, a trecut în atenția publică după ce a început să folosească un mecanism nou de infectare prin publicitate mobilă, denumit intern Aladdin. Această tehnică permite compromiterea unui dispozitiv fără ca utilizatorul să facă click pe o reclamă malițioasă, doar prin simpla afișare a bannerului. Investigația comună a lui Inside Story, Haaretz și WAV Research Collective aduce în prim-plan detalii recent confirmate de Amnesty International, Google și Recorded Future.

Vectorul publicitar Aladdin – noul mecanism de atac

Aladdin exploatează platformele de publicitate mobilă (DSP) pentru a livra reclame manipulate către ținte selectate prin IP și alți identificatori. Reclama infectată se afișează pe site‑uri sau în aplicații, iar simpla vizualizare declanșează lanțul de compromitere al Predator spyware. Sistemul direcționează victimele către serverele de livrare controlate de Intellexa, fără a necesita interacțiune suplimentară.

Reclamele normale devin vectori de intrare

Documentele analizate arată că Intellexa se servește de rețele de companii‑paravan din Irlanda, Germania, Elveția, Grecia, Cipru, Emiratele Arabe Unite și Ungaria. Aceste entități ascund infrastructura publicitară compromisă și permit căutarea de ținte prin identificatori de rețea. Blocarea reclamelor suspecte și ascunderea adresei IP pot reduce riscul, dar Intellexa poate obține date direct de la operatorii de telecomunicații locali.

Exploatare zero‑day și alte mecanisme de infectare – Triton, Thor și Oberon

Pe lângă Aladdin, scurgerile confirmă existența unui alt sistem numit Triton, orientat spre chipset‑uri Samsung Exynos și capabil să exploateze vulnerabilități în banda de bază, forțând chiar trecerea la rețele 2G. Amnesty International menționează și alte două mecanisme, Thor și Oberon, care ar implica comunicații radio și acces fizic. Google subliniază că Intellexa rămâne unul dintre cei mai prolifici furnizori de exploituri zero‑day, fiind responsabilă pentru 15 din cele 70 de cazuri documentate de echipa TAG din 2021.

Date și statistici oferite de surse independente

Recorded Future a mapat legăturile dintre persoane și companii implicate, evidențiind o rețea complexă de relații comerciale și tehnice. Amnesty International a confirmat că, deși sancțiunile din Grecia sunt în desfășurare, activitatea Intellexa continuă, iar Predator spyware devine tot mai greu de detectat. Google recomandă monitorizarea constantă a vulnerabilităților și actualizarea rapidă a sistemelor de operare.

Măsuri de protecție pentru utilizatori

– Activarea opțiunii Advanced Protection pe Android sau a modulului Lockdown Mode pe iOS.
– Utilizarea unei soluții de blocare a reclamelor și a unui VPN care maschează adresa IP.
– Actualizarea regulată a aplicațiilor și a sistemului de operare pentru a instala patch‑uri de securitate.

Conștientizarea și monitorizarea continuă a evoluțiilor în domeniul publicității mobile și al spyware-ului, inclusiv a tehnicilor folosite de Intellexa, rămân esențiale pentru reducerea riscului de infectare cu Predator spyware.