Nieuws
image

Spywareleverancier installeert spyware pas na uitgebreide controle telefoon

maandag 9 oktober 2023, 16:59 door Redactie, 8 reacties

Vandaag kwam Amnesty International met een rapport over aanvallen met de Predator-spyware en hoe die is ingezet tegen journalisten, politici en academici. De makers doen echter uitgebreid de moeite om te voorkomen dat ze telefoons in Israël of de Verenigde Staten infecteren of die van onderzoekers. Dat stellen onderzoekers van Citizen Lab, die in het verleden vaker onderzoek naar deze spyware deden en de bevindingen van Amnesty bevestigen.

Predator werd eind 2021 voor het eerst door onderzoekers van Citizen Lab aangetroffen en is te vergelijken met de beruchte Pegasus-spyware. Eenmaal actief op een telefoon, waarvoor vaak zeroday-exploits worden gebruikt, kan Predator gesprekken die via de microfoon, oordopjes en voip worden gevoerd afluisteren. Ook kan de spyware eigen certificaten voor certificaatautoriteiten aan de certificaatstore toevoegen, waardoor het mogelijk is om TLS-verkeer binnen de browser te ontsleutelen.

Verder kan Predator willekeurige code op het systeem uitvoeren, bepaalde applicaties verbergen of voorkomen dat die bij een herstart van de telefoon worden geladen. Tevens verzamelt Predator allerlei informatie over de besmette telefoon, zoals adresboek en gespreksgeschiedenis. Onderzoekers van Cisco denken dat de spyware ook in staat is om de camera in te schakelen, geolocatiegegevens te verzamelen en het kan doen lijken alsof de telefoon is uitgeschakeld, terwijl die in werkelijkheid nog actief is.

Voordat de spyware wordt geïnstalleerd vindt er eerst een uitgebreide controle plaats, die moet voorkomen dat een telefoon wordt besmet die door onderzoekers in de gaten wordt gehouden. Zo wordt gecontroleerd of het systeemlog actief wordt gemonitord. Ook als de landcode op Israël of Verenigde Staten staat vindt de installatie niet plaats. De Predator-installatie wordt ook niet op gejailbreakte iPhones uitgevoerd, wat ook het geval is wanneer de gebruiker een proxy voor het internetverkeer heeft ingesteld. Als laatste wordt de installatie gestopt als blijkt dat er aanvullende rootcertificaten zijn geïnstalleerd waarmee onderzoekers het verkeer van de telefoon zouden kunnen onderscheppen.

Predator is ontwikkeld door een bedrijf genaamd Intellexa. "De betrokkenheid van hooggeplaatste Europese zakenmensen en politici bij deze ondernemingen toont aan waarom regelgeving van de spywaremarkt zo lastig te bereiken is. Zo zouden de Duitse inlichtingendiensten klanten van Intellexa zijn", aldus Citizen Lab. Duitsland doet ook niet mee aan de groep landen die onlangs beloofde om de verspreiding en misbruik van commerciële spyware gezamenlijk aan te pakken.

Reacties (8)
Reageer met quote
09-10-2023, 17:42 door Anoniem
Weet je dus wat je moet doen om besmetting te voorkomen, je telefoon behandelen als security researcher. Meteen een proxy en extra root certificaten toegevoegd.
Reageer met quote
09-10-2023, 18:31 door Anoniem
Dus je telefoon root-en en je hebt er geen last meer van?
Reageer met quote
09-10-2023, 18:41 door Anoniem
Hoe installeer je een root cert op een iphone die niet is gejailbreaked?
Dat is eigenlijk het beste middel omdat je dan de douanier kan spelen over je toestel.
Reageer met quote
09-10-2023, 21:15 door Anoniem
Door Anoniem: Hoe installeer je een root cert op een iphone die niet is gejailbreaked?
Dat is eigenlijk het beste middel omdat je dan de douanier kan spelen over je toestel.

Zo: https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/user-side-certificates/install-cloudflare-cert/#ios
Reageer met quote
10-10-2023, 07:29 door Anoniem
Door Anoniem: Dus je telefoon root-en en je hebt er geen last meer van?
Developer-mode aan zetten is stukken eenvoudiger en blijkbaar net zo effectief.
Reageer met quote
10-10-2023, 07:30 door Anoniem
Toch bijzonder dat spyware die zich verkoopt als 'Made in the EU', geen telefoons infecteert in de VS en in Israel, maar blijkbaar wel in de EU.
Reageer met quote
10-10-2023, 11:26 door Anoniem
Door Anoniem: Toch bijzonder dat spyware die zich verkoopt als 'Made in the EU', geen telefoons infecteert in de VS en in Israel, maar blijkbaar wel in de EU.

Wellicht omdat het economisch leven van het bedrijf (of, wie weet, het fysieke leven van de eigenaren) nogal bekort kan worden als hun software gebruikt wordt in telefoons van 'de verkeerde mensen' .

Beide landen 'don't fuck around' als ze werkelijk een landsbelang bedreigd zien.

Die zorg hoef je echt niet te hebben bij de EU.
Reageer met quote
10-10-2023, 21:56 door Anoniem
Door Anoniem:
Door Anoniem: Toch bijzonder dat spyware die zich verkoopt als 'Made in the EU', geen telefoons infecteert in de VS en in Israel, maar blijkbaar wel in de EU.

Wellicht omdat het economisch leven van het bedrijf (of, wie weet, het fysieke leven van de eigenaren) nogal bekort kan worden als hun software gebruikt wordt in telefoons van 'de verkeerde mensen' .

Beide landen 'don't fuck around' als ze werkelijk een landsbelang bedreigd zien.

Die zorg hoef je echt niet te hebben bij de EU.

Wellicht omdat het israeliers zijn die dit bedrijf runnen?

Het is opgericht door ex agenten van de Mossad die gespecialiseerd waren in dit soort werk en de ex premier van Israel werkte ook voor ze. Lees maar een random nieuwsbron hierover.

Dus ja dan infecteer je geen israeliers en amerikanen, behalve in een custom build misschien.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search