Az Intellexa új kémfegyvere: hirdetéseken át fertőz

Hirdetésalapú támadás és célzott fertőzés

Az Aladdin első alkalommal 2024-ben jelent meg, és továbbra is aktívan fejlesztik. Ez a rendszer a kereskedelmi mobilhirdetési hálózatokat használja, hogy célzottan, IP-cím és egyéb azonosítók alapján azonosított személyekhez juttassa el a kártevőt. A támadók egy Demand Side Platform (DSP) segítségével utasítják a hirdetési hálózatot, hogy csak a kiválasztott áldozatoknak jelenítse meg a fertőzött hirdetést bármilyen, reklámokat használó oldalon – akár ismert hírportálon vagy mobilalkalmazásban. Elég látni a hirdetést, az eszköz már meg is kapja a fertőzést, a felhasználó tudta és kattintása nélkül. A háttérben a hirdetés továbbirányításokat indít az Intellexa saját szervereire. A rendszer működtetésében írországi, németországi, svájci, görögországi, ciprusi, Egyesült Arab Emírségek-beli és magyarországi érdekeltségek vesznek részt. A hirdetésblokkolók és az IP-elrejtés némileg segíthetnek védekezni, de a beszerzett dokumentumok szerint az Intellexa a belföldi mobilszolgáltatóktól is képes beszerezni kritikus adatokat.

Zéró-napos támadások és Samsung Exynos sebezhetőségek

A kiszivárgott anyagokból kiderült, hogy létezik egy másik, Triton névre keresztelt támadási mód is, amely Samsung Exynos processzoros készülékeket céloz, főként rádiós vagy fizikai támadásokkal. További két lehetséges támadási csatornát is említenek – Thor és Oberon néven –, amelyek vélhetően rádiós vagy fizikai hozzáféréssel működnek. Az Intellexa az egyik legaktívabb kereskedelmi spyware-gyártó, amely gyakran zéró-napos sebezhetőségeket használ: az elmúlt évek 70 dokumentált támadása közül 15 az Intellexához köthető. Saját exploitokat fejlesztenek, de vásárolnak is más forrásból, hogy lefedjék a teljes támadási spektrumot. Bár a céggel szemben több országban folynak vizsgálatok, a gyakorlat továbbra is működik. Érdemes fokozott védelmet alkalmazni a telefonokon, legyen az Android vagy iOS.

2025, adrienne, www.bleepingcomputer.com alapján