Predator Mobile Malware

Valitsuse toetatud ohutegijad kasutavad valitud sihtmärkide mobiilseadmete nakatamiseks mobiili pahavara ohtu, mida jälgitakse kui Predator. Predatori ohu päritolu on seostatud kaubandusliku järelevalvefirmaga Cytrox. CitizenLabi leidude kohaselt loodi Cytrox esmakordselt Põhja-Makedoonia idufirmana. Sellest ajast alates on ettevõte loonud oma ettevõtte Iisraelis ja Ungaris ning arvatakse, et ta on tarninud oma klientidele nuhkvara ja nullpäeva rünnakuid. Google'i ohuanalüüsirühma TAG (Threat Analysis Group) aruanne kinnitas, et need ohustajad asuvad mitmes riigis üle maailma, sealhulgas Egiptuses, Kreekas, Hispaanias, Armeenias, Côte d'Ivoire'is, Madagaskaril ja Indoneesias.

Üksikasjad Predatori kohta

Predator on nuhkvara, mis võib nakatada nii iOS-i kui ka Androidi seadmeid. Oht juurutatakse seadmetesse eelmise etapi laadija kaudu. Kolmes Google'i TAG-i aruandes kirjeldatud ründekampaanias tuvastati, et laadija on ALIEN , üsna lihtne pahavara implantaat, mis võib end sisestada mitmesse privilegeeritud protsessi. Kui oht on tuvastatud, saab see IPC kaudu Predatorilt käske vastu võtta. Mõned kinnitatud käsud hõlmavad helisalvestiste tegemist, CA-sertifikaatide lisamist ja konkreetsete rakenduste peitmist. iOS-i seadmetes saab Predator luua püsivuse, kasutades iOS-i automatiseerimisfunktsiooni.

Kolme analüüsitud Androidi ründekampaania nakkusahel algab valitud sihtmärkidele ühekordsete linkide edastamisega meili teel. Lingid on sarnased URL-i lühendamisteenuste linkidega. Kui sihtmärk klõpsab pakutud lingil, suunatakse ta ümber ründajate kontrollitavasse rikutud domeeni. Seal kasutavad küberkurjategijad ära null- ja n-päevaseid turvaauke, et seadet ohustada, enne kui avavad ohvri veebibrauseris legitiimse veebisaidi. Kui esialgne link ei ole aktiivne, viib see otse legitiimse sihtkohta.