- Predator sequestra indicadores de câmera e microfone do iOS sem o conhecimento ou consentimento do usuário
- O acesso no nível do kernel permite que o Predator injete código em processos críticos do sistema iOS
- O Predator remove indicadores visuais de gravação enquanto mantém o rastreamento persistente do dispositivo
A Apple pode ter introduzido indicadores coloridos na barra de status no iOS 14 para alertar os usuários quando a câmera ou o microfone estão ativados, mas os especialistas alertam que isso não impede todos os malwares.
Desenvolvido pela Intellexa e Cytrox, o spyware, chamado Predator, pode operar em dispositivos iOS comprometidos sem mostrar nenhum indicador de câmera ou microfone.
O Predator ignora o indicador interceptando atualizações de atividade do sensor antes de exibir as interfaces do sistema, sem que os usuários percebam a vigilância constante.
Como o Predator ignora o indicador de privacidade do iOS
O malware não explora nenhuma vulnerabilidade nova, requer acesso previamente obtido no nível do kernel para conectar os processos do sistema.
Uma nova pesquisa do Jamf Threat Labs revelou como o spyware contorna o indicador iOS conectando o processo SpringBoard, visando especificamente o método _handleNewDomainData: dentro da classe SBSensorActivityDataProvider.
Este único gancho substitui o objeto responsável por passar as atualizações do sensor para a IU, evitando que pontos verdes ou laranja apareçam quando a câmera ou o microfone estão em uso.
Os métodos anteriores, incluindo ganchos diretos para o SBRecordingIndicatorManager, foram abandonados em favor desta interceptação upstream, que é mais eficiente e menos detectável.
O Predator possui vários módulos que lidam com vários aspectos da vigilância, como o módulo HiddenDot e o módulo CameraEnabler.
Enquanto o primeiro remove ponteiros visuais, o último evita verificações de permissão da câmera usando correspondência de padrões de instruções ARM64 e redirecionamento de código de autenticação de ponteiro, PAC.
Isso permite que o malware descubra funções internas não expostas publicamente e redirecione a execução sem acionar alertas de segurança padrão do iOS.
O spyware também captura áudio VoIP por meio de um módulo separado. Ao contrário do HiddenDot, o módulo de gravação VoIP não remove diretamente os indicadores do microfone; em vez disso, depende de técnicas furtivas para permanecer indetectável.
Esses módulos podem gravar dados de áudio em caminhos incomuns e manipular processos do sistema, dificultando a detecção de padrões.
O design do Predator dificulta a detecção porque ele injeta código em processos críticos do sistema, como SpringBoard e mediaserverd.
Mach depende de ganchos baseados em exceções em vez de ganchos online tradicionais, o que torna a proteção de endpoint e o software de firewall insuficientes para detectar atividades maliciosas.
Indicadores comportamentais, como a criação de arquivos de áudio inesperados ou atualizações de atividades de sensores que não acionam notificações de IU, são sinais importantes que os defensores devem monitorar.
Observar mapas de memória, portas de exceção e alterações de estado de thread em processos do sistema também pode revelar sinais de perigo.
Predator mostra como o spyware comercial pode usar ferramentas de IA e acesso em nível de sistema para realizar vigilância sofisticada em dispositivos iOS.
Os usuários e as equipes de segurança devem compreender as técnicas de persistência usadas pelo Predator e monitorar o dispositivo em busca de anomalias sutis na atividade do sensor.
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
