Predator Mobile Malware

גורמי איומים הנתמכים על ידי הממשלה משתמשים באיום תוכנה זדונית ניידת המלווה בתור Predator, כדי להדביק את המכשירים הניידים של יעדים נבחרים. מקורו של איום הטורף נקשר לחברת מעקב מסחרית בשם Cytrox. על פי הממצאים של CitizenLab, Cytrox הוקמה לראשונה כסטארט-אפ מצפון מקדוני. מאז החברה הקימה נוכחות תאגידית בישראל ובהונגריה, ומאמינים שהיא סיפקה תוכנות ריגול וניצול של יום אפס ללקוחותיה. דוח של TAG (קבוצת ניתוח האיום) של גוגל אישר שגורמי האיום הללו נמצאים במספר מדינות ברחבי העולם, כולל מצרים, יוון, ספרד, ארמניה, חוף השנהב, מדגסקר ואינדונזיה.

פרטים על Predator

Predator היא תוכנת ריגול שיכולה להדביק גם מכשירי iOS וגם אנדרואיד. האיום נפרס על המכשירים באמצעות טוען בשלב הקודם. בשלושת מסעות הפרסום לתקיפה המפורטים בדוח Google TAG, הטוען זוהה כ- ALIEN , שתל תוכנה זדונית פשוט למדי שיכול להחדיר את עצמו למספר תהליכים מיוחסים. לאחר שהוקם, האיום יכול לקבל פקודות מ-Predator באמצעות IPC. חלק מהפקודות שאושרו כוללות ביצוע הקלטות אודיו, הוספת אישורי CA והסתרת אפליקציות ספציפיות. במכשירי iOS, Predator יכול לבסס התמדה על ידי ניצול תכונת האוטומציה של iOS.

שרשרת ההדבקה של שלושת הקמפיינים לתקיפה של אנדרואיד המנותחת מתחילה במשלוח של קישורים חד-פעמיים ליעדים הנבחרים באמצעות דואר אלקטרוני. הקישורים נראים דומים לאלה משירותי מקצר כתובות אתרים. כאשר היעד לוחץ על הקישור שסופק, הם מנותבים לתחום פגום שנשלט על ידי התוקפים. שם, פושעי הסייבר מנצלים פגיעות אפס ו-n-ימים כדי לסכן את המכשיר לפני פתיחת אתר לגיטימי בדפדפן האינטרנט של הקורבן. אם הקישור הראשוני אינו פעיל, הוא יוביל ישירות ליעד לגיטימי.