O spyware Predator, criado pela empresa de vigilância Intellexa, está usando um novo método de ataque silencioso para obter acesso a contas e dados privados. Chamado Aladdin, o recurso infecta alvos apenas com a visualização de um anúncio malicioso.
A descoberta veio de uma investigação conjunta que analisou documentos vazados e pesquisas técnicas da própria Intellexa, revelando como o sistema de publicidade móvel se tornou um mecanismo eficiente para distribuir malware, destaca o site BleepingComputer.
O que é o Aladdin e por que ele preocupa
O Aladdin chamou atenção por ser um vetor de infecção sem cliques — ou seja, o alvo não precisa realizar nenhuma ação para ser comprometido. A investigação mostra que o recurso surgiu em 2024 e segue em uso ativo, escondido atrás de empresas de fachada espalhadas por vários países.
A tática funciona forçando a exibição de anúncios maliciosos para pessoas específicas, identificadas por IP público ou outros dados. Esses anúncios podem aparecer em qualquer site ou aplicativo com publicidade integrada.
“Este anúncio malicioso pode ser veiculado em qualquer site que exiba anúncios, como um site de notícias confiável ou um aplicativo móvel”, explica um representante do Laboratório de Segurança da Anistia Internacional.
Segundo os documentos internos da Intellexa, “simplesmente visualizar o anúncio é suficiente para ativar a infecção no dispositivo alvo, sem a necessidade de clicar no próprio anúncio”.
Como o ataque é distribuído
O processo que sustenta o Aladdin é complexo. O Google afirma que os anúncios redirecionam o dispositivo do alvo, de forma invisível, até os servidores da Intellexa, onde ocorrem os exploits.
Essa rede envolve empresas de publicidade em diversos países, como Irlanda, Alemanha, Suíça, Grécia, Chipre, Emirados Árabes Unidos e Hungria. A Recorded Future já conectou pessoas, empresas e infraestrutura envolvidas nesse ecossistema.
Entre as práticas usadas pela Intellexa, estão:
- Forçar anúncios maliciosos em redes de publicidade móvel.
- Mapear alvos por IP e identificadores do dispositivo.
- Usar empresas de fachada para esconder a operação.
- Construir redes internacionais de distribuição.
- Redirecionar o alvo para servidores de exploit automaticamente.
Bloquear anúncios no navegador é apontado como um primeiro passo de proteção, assim como ocultar o IP público do dispositivo. O caso se complica porque os documentos vazados indicam que a Intellexa obtém dados diretamente de operadoras locais.
Mais vetores além do Aladdin
O vazamento revelou ainda outro método chamado Triton, capaz de atingir aparelhos com chip Samsung Exynos, explorando falhas na banda base ao forçar o downgrade para 2G. Especialistas não sabem se ele ainda está ativo.
Leia mais:
- Câmara dos EUA exige explicações da Anthropic após ciberataque com IA
- Inteligência artificial acelera ciberataques e pressiona defesa dos EUA
- Amazon revela sistema de IA para caçar falhas antes de ciberataques
Há também mecanismos semelhantes, codinomes Thor e Oberon, possivelmente ligados à comunicação por rádio ou a ataques com acesso físico ao aparelho.
Pesquisadores do Google apontam a Intellexa como líder na exploração de falhas zero-day: ela teria sido responsável por 15 dos 70 casos detectados pela TAG desde 2021. A empresa desenvolve seus próprios exploits e também compra cadeias externas para atingir diferentes perfis de alvo.
Mesmo sob sanções e investigações na Grécia, a Intellexa continua ativa. Com o Predator se tornando mais furtivo, especialistas recomendam ativar camadas extras de proteção, como a Proteção Avançada no Android e o Modo de Bloqueio no iOS.
O post Spyware Predator ganha ataque que infecta só com um anúncio apareceu primeiro em Olhar Digital.
