Predator Mobile Malware

بازیگران تهدید تحت حمایت دولت از یک تهدید بدافزار تلفن همراه که به عنوان Predator ردیابی می شود، استفاده می کنند تا دستگاه های تلفن همراه اهداف منتخب را آلوده کنند. منشا تهدید Predator به یک شرکت نظارت تجاری به نام Cytrox مرتبط است. طبق یافته های CitizenLab، Cytrox ابتدا به عنوان یک استارت آپ در مقدونیه شمالی تأسیس شد. از آن زمان، این شرکت یک حضور شرکتی در اسرائیل و مجارستان ایجاد کرده است و گمان می‌رود نرم‌افزارهای جاسوسی و بهره‌برداری‌های روز صفر را برای مشتریان خود عرضه کرده است. گزارشی توسط TAG (گروه تحلیل تهدیدات) گوگل تأیید کرده است که این عوامل تهدید در چندین کشور در سراسر جهان از جمله مصر، یونان، اسپانیا، ارمنستان، ساحل عاج، ماداگاسکار و اندونزی مستقر هستند.

جزئیات در مورد Predator

Predator یک نرم افزار جاسوسی است که می تواند دستگاه های iOS و Android را آلوده کند. تهدید از طریق یک لودر مرحله قبلی به دستگاه ها مستقر می شود. در سه کمپین حمله به تفصیل در گزارش Google TAG، لودر به‌عنوان ALIEN شناسایی شد، یک بدافزار نسبتاً ساده که می‌تواند خود را به چندین فرآیند ممتاز تزریق کند. پس از ایجاد، تهدید می تواند از طریق IPC دستورات را از Predator دریافت کند. برخی از دستورات تایید شده شامل ضبط صدا، افزودن گواهینامه های CA و پنهان کردن برنامه های خاص است. در دستگاه‌های iOS، Predator می‌تواند با بهره‌برداری از ویژگی اتوماسیون iOS، پایداری را ایجاد کند.

زنجیره عفونت سه کمپین حمله اندروید تجزیه و تحلیل شده با تحویل پیوندهای یکباره به اهداف انتخاب شده از طریق ایمیل آغاز می شود. پیوندها شبیه به پیوندهای سرویس های کوتاه کننده URL هستند. هنگامی که هدف روی پیوند ارائه شده کلیک می کند، آنها به یک دامنه خراب که توسط مهاجمان کنترل می شود هدایت می شوند. در آنجا، مجرمان سایبری از آسیب‌پذیری‌های صفر و روز n برای به خطر انداختن دستگاه قبل از باز کردن یک وب‌سایت قانونی در مرورگر وب قربانی سوء استفاده می‌کنند. اگر لینک اولیه فعال نباشد، مستقیماً به یک مقصد قانونی منتهی می شود.