Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Predator малициозен софтвер користи нов начин на инфекција за zero-click напади

Објавено: 05.12.2025

Predator малициозниот софтвер од компанијата за надзор Intellexa користи механизам за инфекција без кликнување, наречен „Aladdin“, кој ги компромитирал одредени цели само со прегледување на злонамерна реклама.

Овој моќен и досега непознат начин на инфекција е внимателно сокриен зад шол компаниите распоредени во повеќе земји, а сега е откриен во нова заедничка истрага на Inside Story, Haaretz и WAV Research Collective.

Истрагата се базира на „Intellexa Leaks“ – колекција на протечени внатрешни документи и маркетинг материјали на компанијата, и е потврдена со технички истражувања од форензички и безбедносни експерти од Amnesty International, Google и Recorded Future.

Протечени маркетинг материјали од Intellexa

Испорака на шпионски софтвер преку реклами

Првпат применет во 2024 година и се верува дека сè уште е активен и во развој, Aladdin го искористува комерцијалниот систем за мобилно рекламирање за испорака на малициозен софтвер.

Механизмот ги насочува „оружените“ реклами кон специфични цели идентификувани преку нивната јавна IP адреса и други идентификатори, давајќи инструкции преку Demand Side Platform (DSP) до платформите да ја прикажат рекламата на секоја веб-страница што е дел од рекламната мрежа.

„Оваа злонамерна реклама може да се појави на која било веб-страница што прикажува реклами, како на пример доверливи новински портали или мобилни апликации, и ќе изгледа како било која друга реклама што целта очекува да ја види,“ објаснува Security Lab на Amnesty International.

„Внатрешните материјали на компанијата објаснуваат дека само гледањето на рекламата е доволно за да се активира инфекцијата на уредот на целта, без никаква потреба да се кликне на самата реклама.“

Преглед на Aladdin

Иако нема достапни детали за тоа како точно функционира инфекцијата, Google наведува дека рекламите предизвикуваат пренасочувања кон серверите на Intellexa за испорака на експлоатирачки код.

Рекламите се насочуваат преку сложена мрежа на рекламни фирми распоредени во повеќе земји, вклучувајќи Ирска, Германија, Швајцарија, Грција, Кипар, ОАЕ и Унгарија.

Recorded Future направи подлабока анализа на рекламната мрежа, поврзувајќи ги клучните луѓе, компании и инфраструктура, и именувајќи некои од тие компании во својот извештај.

Заштитата од овие злонамерни реклами е комплексна, но блокирањето реклами во прелистувачот би било добар почеток.

Друга потенцијална мерка за одбрана би била поставување на прелистувачот да ја сокрие јавната IP адреса од тракерите.

Сепак, протечените документи покажуваат дека Intellexa сè уште може да ја добие информацијата од домашните мобилни оператори во земјата на клиентот.

Земји каде е потврдена активност на Predator

Samsung Exynos и zero-day експлоатации

Друг клучен наод од протекувањето е потврда за постоење на уште еден начин на испорака наречен Triton, кој може да ги таргетира уредите со Samsung Exynos преку базни експлоати (baseband exploits), принудувајќи 2G пониски мрежни конфигурации за да се создаде основа за инфекција.

Аналитичарите на Amnesty International не се сигурни дали овој начин на инфекција се уште се користи и забележуваат дека постојат уште два, можеби слични механизми за испорака, со кодни имиња Thor и Oberon, за кои се верува дека вклучуваат радио комуникации или напади со физички пристап.

Истражувачите на Google ја наведуваат Intellexa како еден од најактивните комерцијални даватели на шпионски софтвер во поглед на zero-day експлоатации, одговорен за 15 од 70 случаи на zero-day експлоатации откриени и документирани од страна на TAG од 2021 година.

Google наведува дека Intellexa развива свои експлоати и исто така купува експлоатациски ланци од надворешни субјекти за да покрие цел спектар на потребно таргетирање.

И покрај санкциите и тековните истраги против Intellexa во Грција, операторот на шпионскиот софтвер е подеднакво активен, според Amnesty International.

Како што Predator еволуира во поисклучителен и потешко следлив софтвер, се препорачува корисниците да разгледаат вклучување на дополнителна заштита на нивните мобилни уреди, како што се Advanced Protection на Android и Lockdown Mode на iOS.

Извори:

  • Bleeping Computer– Predator spyware uses new infection vector for zero-click attacks Bleeping Computer