Predator Mobile Malware

Aktéři hrozeb podporovaní vládou používají mobilní malwarovou hrozbu sledovanou jako Predator k infikování mobilních zařízení vybraných cílů. Původ hrozby Predator byl spojen s komerční sledovací společností Cytrox. Podle zjištění CitizenLab byl Cytrox nejprve založen jako severomakedonský start-up. Od té doby si společnost vybudovala firemní zastoupení v Izraeli a Maďarsku a má se za to, že svým klientům dodávala spyware a zero-day exploity. Zpráva skupiny TAG (Threat Analysis Group) společnosti Google potvrdila, že tito aktéři hrozeb se nacházejí v několika zemích po celém světě, včetně Egypta, Řecka, Španělska, Arménie, Pobřeží slonoviny, Madagaskaru a Indonésie.

Podrobnosti o Predator

Predator je spyware, který může infikovat zařízení iOS i Android. Hrozba je nasazena do zařízení prostřednictvím zavaděče předchozí fáze. Ve třech útočných kampaních podrobně popsaných ve zprávě Google TAG byl zavaděč identifikován jako ALIEN , poměrně jednoduchý malwarový implantát, který se může vložit do mnoha privilegovaných procesů. Po vytvoření může hrozba přijímat příkazy od Predatora přes IPC. Některé z potvrzených příkazů zahrnují vytváření zvukových nahrávek, přidávání certifikátů CA a skrývání konkrétních aplikací. Na zařízeních iOS může Predator zajistit stálost využitím funkce automatizace iOS.

Infekční řetězec tří analyzovaných útočných kampaní na Android začíná doručením jednorázových odkazů na vybrané cíle prostřednictvím e-mailu. Odkazy vypadají podobně jako odkazy ze služeb zkracování adres URL. Když cíl klikne na poskytnutý odkaz, je přesměrován na poškozenou doménu kontrolovanou útočníky. Tam kyberzločinci využívají nulové a n-denní zranitelnosti ke kompromitaci zařízení před otevřením legitimní webové stránky ve webovém prohlížeči oběti. Pokud počáteční odkaz není aktivní, povede přímo k legitimnímu cíli.