Predator Mobile Malware

تستخدم الجهات الفاعلة في مجال التهديد المدعوم من الحكومة تهديدًا من البرامج الضارة للجوّال يتم تعقبه باسم Predator ، لإصابة الأجهزة المحمولة لأهداف محددة. تم ربط أصول تهديد المفترس بشركة مراقبة تجارية تسمى Cytrox. وفقًا لنتائج CitizenLab ، تم تأسيس Cytrox لأول مرة كشركة شمال مقدونية. منذ ذلك الحين ، أسست الشركة وجودًا مؤسسيًا في إسرائيل والمجر ويعتقد أنها زودت عملائها ببرامج تجسس واستغلال ثغرات يوم الصفر. أكد تقرير صادر عن TAG (مجموعة تحليل التهديدات) التابعة لـ Google أن الجهات الفاعلة التي تهدد هذه التهديدات موجودة في بلدان متعددة في جميع أنحاء العالم ، بما في ذلك مصر واليونان وإسبانيا وأرمينيا وكوت ديفوار ومدغشقر وإندونيسيا.

تفاصيل حول المفترس

Predator هو برنامج تجسس يمكنه إصابة أجهزة iOS و Android. يتم نشر التهديد على الأجهزة عبر محمل المرحلة السابقة. في حملات الهجوم الثلاث المفصلة في تقرير Google TAG ، تم تحديد أداة التحميل على أنها ALIEN ، وهي عبارة عن غرسة ضارة بسيطة إلى حد ما يمكنها حقن نفسها في عمليات متعددة ذات امتيازات. بمجرد إنشائه ، يمكن أن يتلقى التهديد أوامر من بريداتور عبر IPC. تتضمن بعض الأوامر المؤكدة إجراء تسجيلات صوتية وإضافة شهادات CA وإخفاء تطبيقات معينة. على أجهزة iOS ، يمكن لـ Predator إثبات الثبات من خلال استغلال ميزة أتمتة iOS.

تبدأ سلسلة الإصابة الخاصة بحملات هجوم Android الثلاث التي تم تحليلها بتسليم روابط لمرة واحدة للأهداف المختارة عبر البريد الإلكتروني. تظهر الروابط مشابهة لتلك الموجودة في خدمات تقصير عناوين URL. عندما ينقر الهدف على الرابط المقدم ، تتم إعادة توجيهه إلى مجال تالف يتحكم فيه المهاجمون. هناك ، يستغل المجرمون الإلكترونيون نقاط الضعف الصفرية والسارية لخرق الجهاز قبل فتح موقع ويب شرعي في متصفح الويب الخاص بالضحية. إذا كان الرابط الأولي غير نشط ، فسيؤدي إلى وجهة شرعية مباشرة.