De la telefoane interceptate prin fir la atacuri digitale invizibile, supravegherea a evoluat într-o etapă în care reclamele online pot funcționa ca vectori de infiltrare. Ancheta comună realizată de Inside Story, Haaretz și WAV Research Collective, bazată pe pachetul de documente Intellexa Leaks și confirmată de analize tehnice ale Amnesty International, Google și Recorded Future, ilustrează modul în care spyware-ul Predator, creat de firma Intellexa, a folosit un mecanism zero-click denumit Aladdin pentru a compromite ținte doar prin afișarea unei reclame malițioase.
Aladdin a fost pus în funcțiune în 2024 și, cel puțin oficial, rămâne în dezvoltare și utilizare. Principiul este simplu, dar eficient: ecosistemul comercial de publicitate mobilă este folosit ca rută de livrare a malware-ului. Anunțurile sunt direcționate spre persoane sau dispozitive identificate prin adresa IP publică și alți identificatori, iar platformele sunt instruite printr-un Demand Side Platform să afișeze acele reclame pe orice site sau aplicație din rețeaua de ads. Cercetătorii Amnesty International explică că simpla afișare a reclamei poate declanșa infectarea dispozitivului, fără niciun click din partea victimei, iar Google precizează că reclamele redirecționează către servere care livrează exploit-urile.
Infrastructura folosită pentru a camufla livrarea este complexă și transnațională. Reclamele compromise trec printr-o serie de firme de publicitate înregistrate în țări precum Irlanda, Germania, Elveția, Grecia, Cipru, Emiratele Arabe Unite și Ungaria. Recorded Future a reușit să lege persoane, companii și infrastructuri, identificând anumite entități implicate în acest lanț. Astfel, o vulnerabilitate tehnică devine și o problemă geopolitică și administrativă, pentru că izolarea și blocarea unui singur nod din rețea nu elimină amenințarea.
Pe lângă Aladdin, documentele scurse confirmă existența unui alt vector numit Triton, care atacă telefoane dotate cu chipset Samsung Exynos folosind exploit-uri asupra componentelor de bază ale comunicațiilor. Această tehnică poate forța un downgrade la 2G, pregătind terenul pentru infectare. Sunt menționate și două mecanisme posibil similare, numite Thor și Oberon, despre care se suspectează că implică comunicații radio sau atacuri ce necesită acces fizic. Google l-a identificat pe Intellexa ca pe unul dintre cei mai activi furnizori comerciali de spyware în ceea ce privește exploatările zero-day: firma ar fi responsabilă pentru 15 din cele 70 de cazuri documentate de TAG din 2021 încoace. Intellexa dezvoltă exploit-uri proprii, dar și achiziționează lanțuri de exploatare de la terți pentru a-și diversifica capacitatea de țintire.
Apărarea este dificilă. Un prim pas practic este blocarea reclamelor în browser, iar o altă măsură utilă este ascunderea adresei IP față de trackerii publicitari. Problema se complică deoarece documentele arată că Intellexa poate obține informații de la operatorii de telefonie mobilă din țara clientului, ceea ce îngreunează protecția. În pofida sancțiunilor și investigațiilor din Grecia, compania pare să-și mențină activitatea, iar Predator devine tot mai greu de detectat și urmărit. Utilizatorilor li se recomandă activarea unor protecții suplimentare pe dispozitive mobile, cum ar fi Advanced Protection pe Android și Lockdown Mode pe iOS.
Aladdin este denumirea mecanismului zero-click folosit de Predator. Cazul subliniază cât de vulnerabil poate fi ecosistemul publicitar digital, care a devenit un canal prin care actori malițioși pot ascunde informații sensibile în locuri neașteptate. Reglementarea și transparența în industria publicității online, cooperarea internațională între operatori și consolidarea măsurilor de securitate pentru utilizatori, de la setări de confidențialitate la funcții avansate precum cele menționate, sunt pași concreți care pot reduce expunerea. Cum crezi că ar trebui să răspundă guvernele și companiile de publicitate la astfel de vulnerabilități?
Fii primul care comentează