Predator Mobile Malware

Valdības atbalstīti draudu dalībnieki izmanto mobilo ļaundabīgo programmu draudus, kas izsekots kā Predator, lai inficētu noteiktu mērķu mobilās ierīces. Predator draudu izcelsme ir saistīta ar komerciālu novērošanas uzņēmumu Cytrox. Saskaņā ar CitizenLab atklājumiem Cytrox vispirms tika izveidots kā Ziemeļmaķedonijas jaunuzņēmums. Kopš tā laika uzņēmums ir izveidojis korporatīvo klātbūtni Izraēlā un Ungārijā, un tiek uzskatīts, ka tas saviem klientiem ir piegādājis spiegprogrammatūru un nulles dienas ekspluatāciju. Google TAG (Draudu analīzes grupas) ziņojumā ir apstiprināts, ka šie apdraudējuma dalībnieki atrodas vairākās pasaules valstīs, tostarp Ēģiptē, Grieķijā, Spānijā, Armēnijā, Kotdivuārā, Madagaskarā un Indonēzijā.

Sīkāka informācija par Predator

Predator ir spiegprogrammatūra, kas var inficēt gan iOS, gan Android ierīces. Draudi ierīcēs tiek izvietoti, izmantojot iepriekšējās pakāpes ielādētāju. Trīs uzbrukuma kampaņās, kas aprakstītas Google TAG pārskatā, ielādētājs tika identificēts kā ALIEN — diezgan vienkāršs ļaunprātīgas programmatūras implants, kas var ievadīt sevi vairākos priviliģētos procesos. Kad draudi ir izveidoti, tie var saņemt komandas no Predator, izmantojot IPC. Dažas apstiprinātās komandas ietver audio ierakstu veikšanu, CA sertifikātu pievienošanu un noteiktu lietotņu slēpšanu. iOS ierīcēs Predator var nodrošināt noturību, izmantojot iOS automatizācijas funkciju.

Trīs analizēto Android uzbrukuma kampaņu infekcijas ķēde sākas ar vienreizēju saišu piegādi uz izvēlētajiem mērķiem pa e-pastu. Šķiet, ka saites ir līdzīgas saitēm no URL saīsināšanas pakalpojumiem. Kad mērķis noklikšķina uz norādītās saites, tas tiek novirzīts uz bojātu domēnu, kuru kontrolē uzbrucēji. Tur kibernoziedznieki izmanto nulles un n-dienu ievainojamības, lai kompromitētu ierīci, pirms tiek atvērta likumīga vietne upura tīmekļa pārlūkprogrammā. Ja sākotnējā saite nav aktīva, tā tieši novedīs pie likumīga galamērķa.