Predator Mobile Malware

Hallituksen tukemat uhkatoimijat käyttävät Predator-nimellä jäljitettyä mobiilihaittaohjelmauhkaa tartuttaakseen valittujen kohteiden mobiililaitteet. Predator-uhan alkuperä on liitetty kaupalliseen valvontayhtiöön nimeltä Cytrox. CitizenLabin havaintojen mukaan Cytrox perustettiin ensin pohjoismakedonialaisena start-up-yrityksenä. Siitä lähtien yritys on perustanut yrityksen läsnäolon Israelissa ja Unkarissa, ja sen uskotaan toimittaneen vakoiluohjelmia ja nollapäivän hyväksikäyttöjä asiakkailleen. Googlen TAG-ryhmän (Threat Analysis Group) raportti on vahvistanut, että nämä uhkatekijät sijaitsevat useissa maissa eri puolilla maailmaa, mukaan lukien Egypti, Kreikka, Espanja, Armenia, Norsunluurannikko, Madagaskar ja Indonesia.

Tiedot Predatorista

Predator on vakoiluohjelma, joka voi tartuttaa sekä iOS- että Android-laitteet. Uhka levitetään laitteisiin edellisen vaiheen latausohjelman kautta. Kolmessa Google TAG -raportissa kuvatuissa hyökkäyskampanjoissa latausohjelma tunnistettiin ALIENiksi , joka on melko yksinkertainen haittaohjelma-istute, joka voi ruiskuttaa itsensä useisiin etuoikeutettuihin prosesseihin. Kun uhka on todettu, se voi vastaanottaa komentoja Predatorilta IPC:n kautta. Joitakin vahvistettuja komentoja ovat äänitallenteiden tekeminen, CA-varmenteiden lisääminen ja tiettyjen sovellusten piilottaminen. iOS-laitteissa Predator voi luoda pysyvyyttä hyödyntämällä iOS-automaatioominaisuutta.

Kolmen analysoidun Android-hyökkäyskampanjan tartuntaketju alkaa kertaluonteisten linkkien toimittamisesta valittuihin kohteisiin sähköpostitse. Linkit näyttävät samanlaisilta kuin URL-lyhennyspalveluiden linkit. Kun kohde napsauttaa annettua linkkiä, hänet ohjataan hyökkääjien hallitsemaan vioittuneeseen verkkotunnukseen. Siellä kyberrikolliset käyttävät hyväkseen nolla- ja n-päivän haavoittuvuuksia vaarantaakseen laitteen ennen kuin avaavat laillisen verkkosivuston uhrin verkkoselaimessa. Jos alkuperäinen linkki ei ole aktiivinen, se johtaa suoraan lailliseen kohteeseen.