Predator Mobile Malware

A kormány által támogatott fenyegetés szereplői egy Predator néven nyomon követett rosszindulatú mobilfenyegetést használnak bizonyos célpontok mobileszközeinek megfertőzésére. A Predator fenyegetés eredetét a Cytrox nevű kereskedelmi megfigyelő céghez hozták összefüggésbe. A CitizenLab megállapításai szerint a Cytroxot először észak-macedón start-upként hozták létre. Azóta a cég vállalati jelenlétet létesített Izraelben és Magyarországon, és vélhetően kémprogramokat és nulladik napi exploitokat szállít ügyfelei számára. A Google TAG (Threat Analysis Group) jelentése megerősítette, hogy ezek a fenyegetés szereplői a világ számos országában találhatók, beleértve Egyiptomot, Görögországot, Spanyolországot, Örményországot, Elefántcsontpartot, Madagaszkárt és Indonéziát.

Részletek a Predatorról

A Predator egy kémprogram, amely iOS és Android eszközöket is megfertőzhet. A fenyegetést egy előző fázisú betöltőn keresztül telepítik az eszközökre. A Google TAG jelentésében részletezett három támadási kampányban a betöltőt ALIEN néven azonosították, amely egy meglehetősen egyszerű malware implantátum, amely több kiemelt folyamatba is képes bejuttatni magát. Miután létrejött, a fenyegetés parancsokat kaphat a Predatortól az IPC-n keresztül. A jóváhagyott parancsok közé tartozik a hangfelvételek készítése, a CA-tanúsítványok hozzáadása és az egyes alkalmazások elrejtése. Az iOS-eszközökön a Predator az iOS automatizálási funkciójának kihasználásával biztosíthatja a tartósságot.

A három elemzett Android támadási kampány fertőzési lánca a kiválasztott célpontokhoz e-mailben történő egyszeri linkek kézbesítésével kezdődik. A hivatkozások hasonlónak tűnnek az URL-rövidítő szolgáltatások hivatkozásaihoz. Amikor a célpont rákattint a megadott hivatkozásra, a rendszer átirányítja a támadók által ellenőrzött sérült tartományra. Ott a kiberbűnözők kihasználják a nulla és n-napos sebezhetőséget, hogy feltörjék az eszközt, mielőtt megnyitnának egy legitim webhelyet az áldozat webböngészőjében. Ha a kezdeti hivatkozás nem aktív, akkor közvetlenül egy legitim célhoz vezet.