быдло.jazz
@tvoijazz
Еще одна штука, которая, по моему скромному мнению, требует максимального внимания.
https://www.amnesty.org/en/latest/news/2025/12/intellexa-spyware/
Мы уже разбирали Predator на курсе, и я объяснял на его примере почему скрытие и подмена отпечатков устройства - это база. Прогресс вносит коррективы, а еще конкретнее - их вносит интеграция Aladdin в цепочку эксплойтов, о которых идет речь.
Aladdin - платформа Intellexa для таргетинга и доставки эксплойтов, маскируемая под обычную рекламу и WebView-контент. Опасна эта хрень тем, что она реально дохуя умная и абсолютно в стэлсе:
подсовывает разный код разным устройствам;
не тратит 0-day на неподходящие цели;
Может работать:
через обычный браузер,
через in-app WebView,
через рекламные SDK внутри приложений.
выглядит как обычная реклама;
сайт-владелец и пользователь ничего не замечают;
эксплойт получают только нужные устройства.
Еще раз: это не «одна дыра», а цепочка drive-by атак, где заражение происходит без клика, в т.ч. через рекламу или встроенные WebView.
Exploit (RCE)
↓
Дроппер (bootstrap)
↓
Основной агент Predator
Открыли страницу в браузере или приложение запустило стороннее активити - запустился код. Эксплойт висит в оперативной памяти, собирает информацию об устройстве и работает на повышение привилегий в системе. В случае успешного эксплойта (например sandbox escape), внедряется dropper. Это может быть fileless blob, исполняемый исключительно в памяти и не имеющий постоянных файлов. Он продолжает собирать информацию о вашем устройстве, но уже более детально, и на ее основе выбирает и доставляет уже основного агента. Dropper - точка принятия решения. А вот этот агент (собственно, Predator) уже имеет ваше устройство как ему захочется.
Predator внедряется как нативная служба или процесс через:
уязвимости ядра,
уязвимости графического стека,
уязвимости в Binder/PM, etc
Ничто из перечисленного не является приложением, не требует разрешений и, кроме самого агента, не имеет долгоживущих процессов. Агент закрепляется в системе и может реально очень многое, а обнаружить его очень сложно благодаря тому что он работает на системных процессах и оставляет минимум артефактов.
Основной уязвимый компонент в данном случае - WebView, поскольку WebView исполняет веб-код автоматически, без явного действия пользователя. Вся реклама, которую вам показывают приложения, идет через него же. WebView есть почти везде:
мессенджеры/почта/соцсети/банки/госприложения
Все это не страшилки из интернетов, это - реально используемые схемы и атаки, а все что вчера стоило больших денег завтра будет доступно школьникам за косарик. И даже если вы нахрен не нужны системе (а вы нужны, даже если думаете иначе), то этот школьник может решить что его таргет - это все владельцы какого-нибудь Samsung. Он, школьник этот, выборочно инфицирует все Самсунги, которые зашли на его сайтик с мемами или установили его апку с рекламным SDK. И вынет из них все что ему нужно.
В общем, поставил себе очередную галку. На следующем курсе остановимся на этом и подробно разберем как правильно защищаться от таких атак, потому что защита тут тоже нужна многослойная.
https://www.amnesty.org/en/latest/news/2025/12/intellexa-spyware/
Мы уже разбирали Predator на курсе, и я объяснял на его примере почему скрытие и подмена отпечатков устройства - это база. Прогресс вносит коррективы, а еще конкретнее - их вносит интеграция Aladdin в цепочку эксплойтов, о которых идет речь.
Aladdin - платформа Intellexa для таргетинга и доставки эксплойтов, маскируемая под обычную рекламу и WebView-контент. Опасна эта хрень тем, что она реально дохуя умная и абсолютно в стэлсе:
подсовывает разный код разным устройствам;
не тратит 0-day на неподходящие цели;
Может работать:
через обычный браузер,
через in-app WebView,
через рекламные SDK внутри приложений.
выглядит как обычная реклама;
сайт-владелец и пользователь ничего не замечают;
эксплойт получают только нужные устройства.
Еще раз: это не «одна дыра», а цепочка drive-by атак, где заражение происходит без клика, в т.ч. через рекламу или встроенные WebView.
Exploit (RCE)
↓
Дроппер (bootstrap)
↓
Основной агент Predator
Открыли страницу в браузере или приложение запустило стороннее активити - запустился код. Эксплойт висит в оперативной памяти, собирает информацию об устройстве и работает на повышение привилегий в системе. В случае успешного эксплойта (например sandbox escape), внедряется dropper. Это может быть fileless blob, исполняемый исключительно в памяти и не имеющий постоянных файлов. Он продолжает собирать информацию о вашем устройстве, но уже более детально, и на ее основе выбирает и доставляет уже основного агента. Dropper - точка принятия решения. А вот этот агент (собственно, Predator) уже имеет ваше устройство как ему захочется.
Predator внедряется как нативная служба или процесс через:
уязвимости ядра,
уязвимости графического стека,
уязвимости в Binder/PM, etc
Ничто из перечисленного не является приложением, не требует разрешений и, кроме самого агента, не имеет долгоживущих процессов. Агент закрепляется в системе и может реально очень многое, а обнаружить его очень сложно благодаря тому что он работает на системных процессах и оставляет минимум артефактов.
Основной уязвимый компонент в данном случае - WebView, поскольку WebView исполняет веб-код автоматически, без явного действия пользователя. Вся реклама, которую вам показывают приложения, идет через него же. WebView есть почти везде:
мессенджеры/почта/соцсети/банки/госприложения
Все это не страшилки из интернетов, это - реально используемые схемы и атаки, а все что вчера стоило больших денег завтра будет доступно школьникам за косарик. И даже если вы нахрен не нужны системе (а вы нужны, даже если думаете иначе), то этот школьник может решить что его таргет - это все владельцы какого-нибудь Samsung. Он, школьник этот, выборочно инфицирует все Самсунги, которые зашли на его сайтик с мемами или установили его апку с рекламным SDK. И вынет из них все что ему нужно.
В общем, поставил себе очередную галку. На следующем курсе остановимся на этом и подробно разберем как правильно защищаться от таких атак, потому что защита тут тоже нужна многослойная.
Amnesty International
Global: “Intellexa Leaks” investigation provides further evidence of spyware threats to human rights
"Intellexa Leaks" investigation exposes the internal operations of Intellexa, a company notorious for selling Predator spyware linked to human rights abuses around the world.
217 10.6K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram