Predator de Intellexa evita los indicadores de micrófono y cámara en iOS hookeando SpringBoard

Resumen del hallazgo

Investigadores han documentado que el spyware comercial Predator, atribuido a Intellexa, puede ocultar los indicadores visuales de uso de cámara y micrófono en dispositivos iOS al «hookear» SpringBoard, el proceso del sistema que maneja la interfaz del iPhone. El resultado es que Predator puede transmitir en secreto vídeo y audio desde un dispositivo iOS sin que el usuario vea el punto rojo (cámara) o el punto naranja/verde (micrófono/cámara) que Apple añadió a iOS para señalar actividad de sensores.

Predator manipula elementos de la interfaz sistémica (SpringBoard) para suprimir los indicadores de grabación y así continuar el streaming de cámara y micrófono sin avisos visibles en el dispositivo afectado.

Cómo funciona técnicamente y por qué importa

Apple introdujo indicadores visuales de uso de cámara y micrófono (los puntos de color en el extremo de la barra de estado) como una medida de transparencia y privacidad en versiones recientes de iOS. Estos indicadores dependen de que el subsistema que controla la interfaz muestre el estado correcto cuando un proceso accede a los sensores.

Hookear SpringBoard implica interceptar o reemplazar llamadas o comportamientos dentro de ese proceso para alterar lo que muestra la interfaz. En la práctica, esto requiere privilegios elevados en el dispositivo —por ejemplo, acceso al espacio del kernel, persistencia como daemon privilegiado o una modificación del sistema similar a la que permite un jailbreak— y proporciona al operador del spyware la capacidad de ocultar señales visibles de compromiso que los usuarios normalmente usan para detectar espionaje.

Para defensores y administradores, este tipo de evasión es crítico: los indicadores visuales no pueden considerarse una defensa fiable contra spyware con privilegios suficientes, y su supresión complica tanto la detección por parte del usuario como la respuesta forense inicial.

Contexto y antecedentes del mercado de spyware comercial

El hallazgo encaja en una tendencia conocida: el mercado de spyware comercial ha evolucionado para ofrecer capacidades cada vez más sofisticadas que apuntan a dispositivos móviles. Empresas y consorcios que desarrollan estas herramientas las venden a gobiernos, fuerzas del orden y clientes autorizados, y a veces han sido vinculados a abusos contra periodistas, activistas y opositores políticos en todo el mundo.

• Casos comparables y ampliamente conocidos incluyen Pegasus (NSO Group), que permitió el acceso remoto a iPhone y Android mediante exploits de día cero; y otras familias de spyware como FinFisher y RCS, que han mostrado capacidades de persistencia, captura de audio y vídeo, y exfiltración de datos.
• Apple ha introducido mitigaciones (sandboxing, indicadores de uso de sensores, protecciones de kernel) y publica parches frecuentes para vulnerabilidades críticas, pero los actores con vulnerabilidades de día cero o con formas de elevación de privilegios pueden sortear dichas barreras.
• La presencia de spyware que suprime indicadores gráficos demuestra que las protecciones usables por usuarios no bastan frente a ataques dirigidos y con altos privilegios.

Análisis y comentarios para profesionales de seguridad

Desde la perspectiva de detección y respuesta, el comportamiento descrito —hooking de SpringBoard para ocultar indicadores— sugiere varias implicaciones técnicas:

• Indicadores de compromiso: buscar procesos y servicios que no pertenezcan a Apple en ubicaciones de sistema, daemons inusuales, perfiles de aprovisionamiento o certificados empresariales no autorizados. La existencia de un proceso que interactúa con SpringBoard fuera de los binarios firmados es una señal de alarma.
• Telemetría de red: monitorizar tráfico saliente hacia dominios o direcciones asociadas a infraestructura de comando y control (C2). El streaming de audio/vídeo genera patrones de ancho de banda y conexiones persistentes TLS que pueden correlacionarse con actividad sospechosa.
• Forense móvil: analizar logs del sistema, registros de conexión, listas de procesos y artefactos de jailbreak. En iOS comprometidos a nivel de sistema, las trazas del kernel y del arranque pueden mostrar modificaciones o módulos no oficiales.
• Modo de respuesta: si se sospecha compromiso, asumir que la interfaz no es fiable. Proceder a aislar el dispositivo de redes, revocar credenciales asociadas y realizar una restauración completa mediante DFU (Device Firmware Update) para volver a un estado conocido, preferiblemente configurando el dispositivo como nuevo en lugar de restaurar una copia de seguridad que pudiera reimplantar el spyware.

Riesgos, implicaciones y recomendaciones prácticas

Riesgos e implicaciones:

• Violación de privacidad y seguridad personal: audio y vídeo en tiempo real pueden exponerse, afectando a periodistas, activistas, personal diplomático y ejecutivos.
• Economía política y reputación: el uso de spyware para vigilancia secreta puede erosionar la confianza en plataformas y servicios, y generar consecuencias diplomáticas.
• Limitación de defensas de usuario: medidas visibles como los indicadores de uso de sensores pueden ser neutralizadas por actores con acceso privilegiado, lo que obliga a confiar en controles técnicos más profundos y en políticas organizativas.

Recomendaciones prácticas para usuarios y equipos técnicos:

• Mantener iOS actualizado: instalar parches y activar actualizaciones automáticas. Las actualizaciones corrigen vulnerabilidades que los spyware pueden explotar para elevar privilegios.
• Revisar perfiles y certificados: comprobar en Ajustes > General > VPN y gestión de dispositivos la existencia de perfiles desconocidos o provisiones empresariales no autorizadas.
• Usar restauración DFU si se sospecha compromiso: una restauración completa desde modo DFU borra el firmware y reinstala iOS; evitar restaurar desde copias de seguridad potencialmente comprometidas.
• Separación de dispositivos: para personas en riesgo alto (periodistas, defensores de derechos humanos), usar dispositivos dedicados para comunicaciones sensibles y mantener otro dispositivo para uso general.
• Protecciones de red: aplicar inspección de tráfico saliente y listas de bloqueo de dominios maliciosos a nivel de red corporativa o proveedor, e integrar detección de anomalías de ancho de banda.
• Formación y procedimientos: educar a usuarios en señales de compromiso (rendimiento inusual, batería caliente, consumo de datos excesivo) y establecer pasos claros de respuesta ante sospecha de espionaje.
• Considerar medidas físicas: en casos extremos, usar dispositivos con interruptores físicos o conservar distancias físicas para evitar exposición de conversaciones sensibles cerca del dispositivo.

Conclusión

El reporte sobre Predator que hookea SpringBoard subraya una realidad importante: las indicaciones visibles de uso de micrófono y cámara en iOS ya no son garantías absolutas frente a actores sofisticados con privilegios de sistema. Para defensores y profesionales de seguridad, esto exige un enfoque en múltiples capas —actualizaciones, detección de red, análisis forense y procedimientos de respuesta— y políticas operativas específicas para proteger a usuarios en riesgo. En el plano público y legal, la existencia y uso de estas capacidades plantean preguntas sobre regulación, control de mercado y responsabilidades de los proveedores de spyware comercial.

Source: www.bleepingcomputer.com