Predator Mobile Malware
بازیگران تهدید تحت حمایت دولت از یک تهدید بدافزار تلفن همراه که به عنوان Predator ردیابی می شود، استفاده می کنند تا دستگاه های تلفن همراه اهداف منتخب را آلوده کنند. منشا تهدید Predator به یک شرکت نظارت تجاری به نام Cytrox مرتبط است. طبق یافته های CitizenLab، Cytrox ابتدا به عنوان یک استارت آپ در مقدونیه شمالی تأسیس شد. از آن زمان، این شرکت یک حضور شرکتی در اسرائیل و مجارستان ایجاد کرده است و گمان میرود نرمافزارهای جاسوسی و بهرهبرداریهای روز صفر را برای مشتریان خود عرضه کرده است. گزارشی توسط TAG (گروه تحلیل تهدیدات) گوگل تأیید کرده است که این عوامل تهدید در چندین کشور در سراسر جهان از جمله مصر، یونان، اسپانیا، ارمنستان، ساحل عاج، ماداگاسکار و اندونزی مستقر هستند.
جزئیات در مورد Predator
Predator یک نرم افزار جاسوسی است که می تواند دستگاه های iOS و Android را آلوده کند. تهدید از طریق یک لودر مرحله قبلی به دستگاه ها مستقر می شود. در سه کمپین حمله به تفصیل در گزارش Google TAG، لودر بهعنوان ALIEN شناسایی شد، یک بدافزار نسبتاً ساده که میتواند خود را به چندین فرآیند ممتاز تزریق کند. پس از ایجاد، تهدید می تواند از طریق IPC دستورات را از Predator دریافت کند. برخی از دستورات تایید شده شامل ضبط صدا، افزودن گواهینامه های CA و پنهان کردن برنامه های خاص است. در دستگاههای iOS، Predator میتواند با بهرهبرداری از ویژگی اتوماسیون iOS، پایداری را ایجاد کند.
زنجیره عفونت سه کمپین حمله اندروید تجزیه و تحلیل شده با تحویل پیوندهای یکباره به اهداف انتخاب شده از طریق ایمیل آغاز می شود. پیوندها شبیه به پیوندهای سرویس های کوتاه کننده URL هستند. هنگامی که هدف روی پیوند ارائه شده کلیک می کند، آنها به یک دامنه خراب که توسط مهاجمان کنترل می شود هدایت می شوند. در آنجا، مجرمان سایبری از آسیبپذیریهای صفر و روز n برای به خطر انداختن دستگاه قبل از باز کردن یک وبسایت قانونی در مرورگر وب قربانی سوء استفاده میکنند. اگر لینک اولیه فعال نباشد، مستقیماً به یک مقصد قانونی منتهی می شود.