Recent, cercetări și investigații au adus în prim-plan noi metode de infectare utilizate de spyware-ul Predator, dezvoltat de gruparea Intellexa. Acest combatant avansat în domeniul supravegherii utilizând un mecanism subtil, ce nu necesită interacțiunea directă a utilizatorului, a fost identificat ca fiind activ în 2024. Informațiile obținute din scurgerile de date „Intellexa Leaks” și analizate de experți ai Amnesty International, Google și Recorded Future expun un model de atac inovator numit „Aladdin”.

Atacurile se bazează pe afișarea de reclame malițioase în ecosistemele publicitare digitale, transformând reclamele obișnuite în instrumente de compromitere. Acest vector de infectare nu necesită clicuri, fiind suficient ca bannerul infectat să fie vizualizat pentru a declanșa livrarea exploit-urilor către dispozitivele țintă. Documentele analizate denotă că platformele de publicitate sunt manipulative și pot livra conținut malițios către utilizatorii selectați pe baza adresei IP și a altor identificatori.

Structura infrastructurii vizată de atac include firme-paravan și servere controlate de Intellexa, localizate în diverse țări precum Irlanda, Germania, Elveția, Cipru și Emiratele Arabe. Acestea ascund activitatea ilegală și permit extinderea atacurilor în întreg ecosistemul publicitar. În plus, pentru reducerea riscului de infectare, experții recomandă utilizarea opțiunilor de protecție avansată disponibile pe platformele mobile, precum Advanced Protection pe Android sau Lockdown Mode pe iOS.

Pe lângă vectorul de infectare „Aladdin”, s-au confirmat și alte mecanisme de vulnerabilitate, precum exploituri zero-day numite „Triton”, care vizează dispozitive cu chipset-uri Samsung Exynos. Acestea utilizează breșe din banda de bază, uneori forțând trecerea la conexiuni 2G pentru compromitere. Deși se speculează că Triton ar putea să nu mai fie utilizat, alte tehnici precum „Thor” și „Oberon” implică comunicații radio sau acces fizic.

Google raportează că Intellexa este printre cei mai prolifici furnizori de spyware comercial, fiind responsabilă pentru 15 cazuri de exploatări zero-day identificate din 2021, dintr-un total de 70 documentate de echipa sa TAG. Aceasta dezvoltă propriile exploit-uri, dar și achiziționează lanțuri de atac de la terți, pentru a acoperi o gamă largă de ținte. În ciuda sancțiunilor și a investigațiilor în curs, activitatea Intellexa continuă, iar detectarea operațiunilor sale devine tot mai dificilă.

Monitorizarea constantă și actualizarea cunoștințelor despre astfel de tehnologii de supraveghere devin esențiale pentru utilizatori și specialiști deopotrivă. În timp ce metodele se diversifică, informarea și adoptarea măsurilor de protecție rămân pași importanți pentru reducerea riscului de compromitere.