Predator Mobile Malware

정부 지원 위협 행위자는 Predator로 추적되는 모바일 멀웨어 위협을 사용하여 특정 대상의 모바일 장치를 감염시킵니다. Predator 위협의 기원은 Cytrox라는 상업 감시 회사와 연결되어 있습니다. CitizenLab의 조사 결과에 따르면 Cytrox는 북마케도니아의 스타트업으로 처음 설립되었습니다. 그 이후로 회사는 이스라엘과 헝가리에 법인을 설립했으며 고객에게 스파이웨어와 제로 데이 익스플로잇을 제공한 것으로 여겨집니다. Google의 TAG(위협 분석 그룹)의 보고서에 따르면 이러한 위협 행위자는 이집트, 그리스, 스페인, 아르메니아, 코트디부아르, 마다가스카르 및 인도네시아를 비롯한 전 세계 여러 국가에 위치해 있습니다.

프레데터에 대한 세부 정보

Predator는 iOS 및 Android 장치를 모두 감염시킬 수 있는 스파이웨어입니다. 위협은 이전 단계 로더를 통해 장치에 배포됩니다. Google TAG 보고서에 자세히 설명된 3개의 공격 캠페인에서 로더는 ALIEN 으로 식별되었습니다. 이 로더는 여러 권한 있는 프로세스에 스스로를 주입할 수 있는 매우 단순한 악성 코드 임플란트입니다. 일단 설정되면 위협은 IPC를 통해 Predator로부터 명령을 받을 수 있습니다. 확인된 명령에는 오디오 녹음, CA 인증서 추가, 특정 앱 숨기기가 포함됩니다. iOS 장치에서 Predator는 iOS 자동화 기능을 활용하여 지속성을 설정할 수 있습니다.

분석된 3개의 Android 공격 캠페인의 감염 체인은 이메일을 통해 선택한 대상에 대한 일회성 링크를 전달하는 것으로 시작됩니다. 링크는 URL 단축 서비스의 링크와 유사하게 나타납니다. 대상이 제공된 링크를 클릭하면 공격자가 제어하는 손상된 도메인으로 리디렉션됩니다. 그곳에서 사이버 범죄자들은 피해자의 웹 브라우저에서 합법적인 웹사이트를 열기 전에 제로 및 n-데이 취약점을 악용하여 장치를 손상시킵니다. 초기 링크가 활성화되지 않은 경우 합법적인 대상으로 직접 연결됩니다.