Predator Mobile Malware

Vyriausybės remiami grėsmių subjektai naudoja mobiliųjų kenkėjiškų programų grėsmę, stebimą kaip Predator, kad užkrėstų pasirinktų taikinių mobiliuosius įrenginius. Predator grėsmės ištakos buvo susijusios su komercine stebėjimo įmone Cytrox. Remiantis „CitizenLab“ išvadomis, „Cytrox“ pirmiausia buvo įkurta kaip Šiaurės Makedonijos startuolis. Nuo tada bendrovė pradėjo veikti Izraelyje ir Vengrijoje ir, kaip manoma, tiekė savo klientams šnipinėjimo programas ir nulinės dienos išnaudojimus. „Google“ TAG (Threat Analysis Group) ataskaitoje patvirtinta, kad šie grėsmės veikėjai yra daugelyje pasaulio šalių, įskaitant Egiptą, Graikiją, Ispaniją, Armėniją, Dramblio Kaulo Krantą, Madagaskarą ir Indoneziją.

Išsami informacija apie Predator

Predator yra šnipinėjimo programa, galinti užkrėsti tiek iOS, tiek Android įrenginius. Grėsmė įrenginiams perkeliama per ankstesnio etapo įkroviklį. Trijose „Google TAG“ ataskaitoje išsamiai aprašytose atakų kampanijose įkroviklis buvo identifikuotas kaip ALIEN – gana paprastas kenkėjiškos programos implantas, galintis įsiterpti į kelis privilegijuotus procesus. Nustačius grėsmę, ji gali gauti komandas iš Predator per IPC. Kai kurios patvirtintos komandos apima garso įrašų kūrimą, CA sertifikatų pridėjimą ir konkrečių programų slėpimą. „IOS“ įrenginiuose „Predator“ gali užtikrinti patvarumą naudodamasi „iOS“ automatizavimo funkcija.

Trijų analizuotų „Android“ atakų kampanijų užkrėtimo grandinė prasideda nuo vienkartinių nuorodų pristatymo į pasirinktus taikinius el. paštu. Nuorodos atrodo panašios į nuorodas iš URL sutrumpinimo paslaugų. Kai taikinys spusteli pateiktą nuorodą, jis nukreipiamas į sugadintą domeną, kurį kontroliuoja užpuolikai. Ten kibernetiniai nusikaltėliai išnaudoja nulio ir n dienų pažeidžiamumą, kad pažeistų įrenginį prieš atidarydami teisėtą svetainę aukos interneto naršyklėje. Jei pradinė nuoroda neaktyvi, ji tiesiogiai nukreips į teisėtą paskirties vietą.