Predator Mobile Malware

Gli attori delle minacce sostenuti dal governo stanno utilizzando una minaccia malware mobile tracciata come Predator, per infettare i dispositivi mobili di obiettivi selezionati. Le origini della minaccia Predator sono state collegate a una società di sorveglianza commerciale chiamata Cytrox. Secondo i risultati di CitizenLab, Cytrox è stata inizialmente fondata come start-up della Macedonia del Nord. Da allora l'azienda ha stabilito una presenza aziendale in Israele e Ungheria e si ritiene che abbia fornito spyware ed exploit zero-day ai propri clienti. Un rapporto del TAG (Threat Analysis Group) di Google ha confermato che questi attori delle minacce si trovano in più paesi del mondo, tra cui Egitto, Grecia, Spagna, Armenia, Costa d'Avorio, Madagascar e Indonesia.

Dettagli su Predator

Predator è uno spyware che può infettare sia i dispositivi iOS che Android. La minaccia viene distribuita ai dispositivi tramite un caricatore della fase precedente. Nelle tre campagne di attacco dettagliate nel report di Google TAG, il caricatore è stato identificato come ALIEN , un impianto di malware abbastanza semplice che può iniettarsi in molteplici processi privilegiati. Una volta stabilita, la minaccia può ricevere comandi da Predator tramite IPC. Alcuni dei comandi confermati includono l'esecuzione di registrazioni audio, l'aggiunta di certificati CA e l'occultamento di app specifiche. Sui dispositivi iOS, Predator può stabilire la persistenza sfruttando la funzione di automazione iOS.

La catena di infezione delle tre campagne di attacco Android analizzate inizia con la consegna di link una tantum ai target prescelti via e-mail. I collegamenti appaiono simili a quelli dei servizi di abbreviazione di URL. Quando il bersaglio fa clic sul collegamento fornito, viene reindirizzato a un dominio danneggiato controllato dagli aggressori. Lì, i criminali informatici sfruttano le vulnerabilità zero e n-day per compromettere il dispositivo prima di aprire un sito Web legittimo nel browser Web della vittima. Se il collegamento iniziale non è attivo, porterà direttamente a una destinazione legittima.