Predator Mobile Malware

Akteri prijetnji koje podržava vlada koriste prijetnju mobilnog zlonamjernog softvera praćenu kao Predator, kako bi zarazili mobilne uređaje odabranih ciljeva. Podrijetlo prijetnje Predator povezano je s tvrtkom za komercijalni nadzor pod nazivom Cytrox. Prema nalazima CitizenLaba, Cytrox je prvi put osnovan kao sjevernomakedonski start-up. Od tada je tvrtka uspostavila korporativnu prisutnost u Izraelu i Mađarskoj i vjeruje se da je svojim klijentima isporučila špijunski softver i eksploatacije nultog dana. Izvješće Googleovog TAG-a (Threat Analysis Group) potvrdilo je da se ti akteri prijetnji nalaze u više zemalja diljem svijeta, uključujući Egipat, Grčku, Španjolsku, Armeniju, Obalu Bjelokosti, Madagaskar i Indoneziju.

Pojedinosti o Predatoru

Predator je špijunski softver koji može zaraziti i iOS i Android uređaje. Prijetnja se postavlja na uređaje putem učitavača prethodne faze. U tri napadne kampanje detaljno opisane u izvješću Google TAG, učitavač je identificiran kao ALIEN , prilično jednostavan implantat zlonamjernog softvera koji se može ubrizgati u više privilegiranih procesa. Jednom uspostavljena, prijetnja može primati naredbe od Predatora putem IPC-a. Neke od potvrđenih naredbi uključuju snimanje audio zapisa, dodavanje CA certifikata i skrivanje određenih aplikacija. Na iOS uređajima, Predator može uspostaviti postojanost iskorištavanjem značajke automatizacije iOS-a.

Lanac zaraze od tri analizirane Android napadačke kampanje počinje isporukom jednokratnih poveznica na odabrane mete putem e-pošte. Veze izgledaju slične onima iz usluga skraćivanja URL-ova. Kada cilj klikne na pruženu vezu, preusmjerava se na oštećenu domenu koju kontroliraju napadači. Tamo kibernetički kriminalci iskorištavaju ranjivosti nula i n dana kako bi kompromitirali uređaj prije nego što otvore legitimnu web stranicu u web pregledniku žrtve. Ako početna veza nije aktivna, vodit će izravno do legitimnog odredišta.