Underc0de - La Casa de los Informáticos

El spyware Predator, desarrollado por la firma de vigilancia comercial Intellexa, vuelve a situarse en el centro del debate sobre privacidad digital tras revelarse nuevos detalles técnicos sobre su capacidad para ocultar los indicadores de grabación en dispositivos iOS. A diferencia de otros malware móviles que dependen exclusivamente de vulnerabilidades activas, Predator no necesita explotar directamente una falla en el sistema operativo para desactivar las alertas visuales de privacidad: actúa una vez que ya ha conseguido acceso privilegiado a nivel de núcleo.

El hallazgo, documentado por investigadores de Jamf, demuestra cómo esta herramienta de espionaje puede transmitir en secreto audio y video desde el dispositivo comprometido, sin que el usuario vea el característico punto verde o naranja introducido por Apple en iOS 14.

Los indicadores de privacidad en iOS: una barrera visual contra el espionaje

Desde iOS 14, Apple implementó un sistema de transparencia que alerta al usuario cada vez que la cámara o el micrófono están activos. Este mecanismo muestra:

• Un punto verde cuando la cámara está en uso.
• Un punto naranja cuando el micrófono está activo.

Estos indicadores, visibles en la barra de estado, fueron diseñados para impedir que aplicaciones o procesos maliciosos graben en segundo plano sin conocimiento del usuario. Sin embargo, Predator ha demostrado que incluso estas medidas pueden ser neutralizadas cuando el atacante dispone de privilegios avanzados dentro del sistema.

Cómo Predator oculta la grabación en iOS

El análisis técnico de Jamf revela que Predator utiliza una única función de gancho denominada HiddenDot::setupHook() dentro del proceso SpringBoard, el componente responsable de gestionar la interfaz gráfica principal de iOS.

El mecanismo es sofisticado pero elegante desde el punto de vista técnico:

• iOS llama al método _handleNewDomainData: cada vez que cambia la actividad de un sensor (por ejemplo, cuando se activa la cámara o el micrófono).
• Predator intercepta esta llamada antes de que la información llegue al sistema encargado de mostrar los indicadores.
• El malware anula el objeto SBSensorActivityDataProvider, responsable de procesar los cambios de estado de los sensores.

En el lenguaje Objective-C, las llamadas a un objeto nulo se ignoran silenciosamente. Esto significa que, aunque la cámara o el micrófono estén activos, el sistema nunca recibe la señal necesaria para encender el punto verde o naranja.

Al interceptar este único método, Predator bloquea todas las actualizaciones relacionadas con sensores, desactivando simultáneamente los indicadores de cámara y micrófono. Desde la perspectiva del usuario, el dispositivo parece inactivo, mientras el spyware transmite datos en segundo plano.

Código muerto y evolución del malware

Los investigadores también identificaron "código muerto" que intentaba enganchar directamente el componente SBRecordingIndicatorManager. Sin embargo, esta parte no se ejecuta en las muestras analizadas.

Todo indica que se trató de un enfoque inicial descartado por los desarrolladores de Predator en favor de una estrategia más eficiente: interceptar los datos de sensores aguas arriba, antes de que lleguen al sistema de indicadores.

Este detalle es relevante porque evidencia la evolución constante del spyware comercial y su refinamiento técnico para maximizar el sigilo.

Grabaciones VoIP y evasión avanzada

Predator también soporta grabaciones VoIP. En este caso, el módulo correspondiente no incluye un sistema propio de supresión de indicadores, sino que depende completamente de la función HiddenDot para mantener la invisibilidad.

Además, Jamf explica que el acceso a la cámara se habilita mediante un módulo independiente que localiza funciones internas utilizando coincidencia de patrones de instrucciones ARM64 y redirección del Código de Autenticación de Puntero (PAC). Este proceso permite eludir controles de permisos de la cámara, consolidando el acceso persistente.

La combinación de:

• Acceso a nivel de núcleo
• Hooks en SpringBoard
• Manipulación de estructuras internas
• Evasión de comprobaciones PAC

convierte a Predator en una de las amenazas más avanzadas dentro del ecosistema iOS.

Indicadores técnicos de compromiso (IoCs)

Aunque el usuario común no percibe señales visibles, el análisis forense sí puede revelar actividad sospechosa. Jamf destaca varios indicadores técnicos:

• Mapeos de memoria inesperados en SpringBoard.
• Puertos de excepción anómalos.
• Hooks basados en mediaservers.
• Archivos de audio escritos en rutas inusuales por el proceso mediaserver.

Estos artefactos permiten a equipos de respuesta a incidentes identificar infecciones, aunque requieren capacidades avanzadas de análisis.

Predator, zero-days y ataques de 0 clic

Predator ha sido vinculado anteriormente a campañas que explotaron vulnerabilidades zero-day en productos de Apple y en el navegador Chrome, además de mecanismos de infección sin interacción del usuario (0 clic).

Este modelo operativo lo sitúa dentro del mismo ecosistema de spyware mercenario que ha generado controversia internacional por su uso contra periodistas, activistas y figuras políticas.

El hecho de que ahora se conozca en detalle cómo suprime los indicadores de privacidad en iOS refuerza la preocupación sobre la eficacia de las protecciones visibles frente a amenazas con acceso privilegiado.

Implicaciones para la ciberseguridad móvil

La capacidad de Predator para ocultar completamente la actividad de cámara y micrófono pone de relieve varias conclusiones clave:

• Los indicadores visuales no son suficientes ante compromisos a nivel de kernel.
• Las soluciones MDM y EDR móviles son esenciales para detectar actividad anómala.
• El monitoreo avanzado de procesos críticos como SpringBoard puede revelar intrusiones sofisticadas.

Para organizaciones, periodistas y perfiles de alto riesgo, confiar exclusivamente en las señales visuales del sistema puede generar una falsa sensación de seguridad.

El sigilo como arma principal del spyware comercial

El caso de Predator demuestra que el espionaje móvil ha alcanzado un nivel de sofisticación que supera las protecciones orientadas al usuario final. Al interceptar un único método crítico dentro del sistema, el spyware neutraliza completamente los mecanismos de transparencia introducidos en iOS 14.

Este hallazgo no solo expone la ingeniería avanzada detrás del malware de Intellexa, sino que también subraya la necesidad de estrategias de defensa más profundas, basadas en monitoreo de integridad del sistema y análisis forense continuo.

En un entorno donde la vigilancia digital es cada vez más invisible, comprender cómo funcionan estas amenazas es el primer paso para mitigar su impacto.

Fuente: https://www.bleepingcomputer.com/