Há muito tempo, fornecedores de spyware comercial sustentam que seus softwares são projetados para governos e entidades legais, com uma visibilidade limitada sobre como os clientes utilizam a ferramenta. No entanto, uma recente análise da empresa de segurança Jamf revela que essa premissa não se aplica a um dos aplicativos mais conhecidos: o Predator, da Intellexa.
De acordo com os pesquisadores da Jamf, o spyware Predator emprega diversas capacidades de anti-análise para gerar dados sobre falhas no uso. Essas informações podem ser utilizadas pelos operadores para aprimorar a eficácia de ataques futuros. A descoberta mais alarmante é que a Intellexa, a fornecedora do software, possui um nível de visibilidade e controle sobre o uso da ferramenta muito maior do que se supunha anteriormente.
O Mecanismo Secreto de Coleta de Dados
A equipe da Jamf realizou engenharia reversa em uma amostra do spyware para iOS, previamente divulgada pelo Grupo de Inteligência de Ameaças da Google e pela Citizen Lab. O estudo revelou a existência de ferramentas até então não documentadas, incluindo uma taxonomia de códigos de erro, um sistema de monitoramento de falhas (crashes) e um componente de SpringBoard projetado especificamente para impedir que as vítimas percebam a gravação de suas atividades.
O sistema de códigos de erro se destaca como o achado mais significativo. Ao invés de simplesmente interromper a atividade após uma detecção, o Predator reporta os erros específicos a um servidor de comando e controle (C2). O objetivo é diagnosticar a causa da detecção e determinar a melhor forma de corrigir a falha, permitindo que o ataque prossiga ou seja otimizado para futuras tentativas.
O Mistério do Servidor de Comando e Controle
Embora não tenha sido possível identificar com certeza se o servidor C2 é operado diretamente pela Intellexa ou pelos clientes individuais, a sofisticação do sistema e o padrão de atividade observados sugerem fortemente que o servidor pertence à própria fornecedora do spyware. Este cenário levanta sérias preocupações, dado o histórico de acusações contra vendedores de programas comerciais desse tipo, frequentemente ligados a ciberataques contra ativistas de direitos humanos, candidatos políticos e jornalistas.
Um Padrão de Opacidade e Riscos Graves
O caso do Predator se insere em um contexto mais amplo de controvérsias envolvendo spyware. Um evento notório foi o assassinato de Jamal Khashoggi, jornalista saudita e colunista do Washington Post, cujas comunicações foram hackeadas pelo spyware Pegasus, do Grupo NSO. É importante notar que a Intellexa não possui um site comercial ou canais de contato claros, com seus domínios e e-mails aparentemente abandonados, reforçando a falta de transparência.
A contínua opacidade em torno dos softwares de monitoramento representa um perigo crescente, não apenas para o público em geral, mas também para os próprios clientes que os empregam, que podem ter seus usos monitorados sem pleno conhecimento ou controle.
Fonte: canaltech.com.br