Threat Database Mobile Malware Predator Mobile Malware

Predator Mobile Malware

Regeringsstøttede trusselsaktører bruger en mobil malware-trussel, der spores som Predator, til at inficere udvalgte måls mobile enheder. Oprindelsen af Predator-truslen er blevet knyttet til et kommercielt overvågningsfirma kaldet Cytrox. Ifølge resultaterne af CitizenLab blev Cytrox først etableret som en nordmakedonsk start-up. Siden da har virksomheden etableret en virksomheds tilstedeværelse i Israel og Ungarn og menes at have leveret spyware og zero-day exploits til sine kunder. En rapport fra Googles TAG (Threat Analysis Group) har bekræftet, at disse trusselsaktører er placeret i flere lande over hele verden, herunder Egypten, Grækenland, Spanien, Armenien, Côte d'Ivoire, Madagaskar og Indonesien.

Detaljer om Predator

Predator er et spyware, der kan inficere både iOS- og Android-enheder. Truslen implementeres til enhederne via en tidligere trin-indlæser. I de tre angrebskampagner, der er beskrevet i Google TAG-rapporten, blev loaderen identificeret som ALIEN , et ret simpelt malware-implantat, der kan injicere sig selv i flere privilegerede processer. Når truslen er etableret, kan den modtage kommandoer fra Predator via IPC. Nogle af de bekræftede kommandoer inkluderer at lave lydoptagelser, tilføje CA-certifikater og skjule specifikke apps. På iOS-enheder kan Predator etablere persistens ved at udnytte iOS-automatiseringsfunktionen.

Infektionskæden af de tre analyserede Android-angrebskampagner begynder med levering af engangslinks til de valgte mål via e-mail. Linkene ligner dem fra URL shortener-tjenester. Når målet klikker på det angivne link, bliver de omdirigeret til et beskadiget domæne, der kontrolleres af angriberne. Der udnytter cyberkriminelle nul- og n-dages sårbarheder til at kompromittere enheden, før de åbner en legitim hjemmeside i ofrets webbrowser. Hvis det indledende link ikke er aktivt, vil det føre til en legitim destination direkte.

Trending

Mest sete

Indlæser...