Threat Database Mobile Malware Predator Mobile Malware

Predator Mobile Malware

Regjeringsstøttede trusselaktører bruker en mobil malware-trussel sporet som Predator, for å infisere mobile enheter til utvalgte mål. Opprinnelsen til Predator-trusselen har vært knyttet til et kommersielt overvåkingsselskap kalt Cytrox. I følge funnene fra CitizenLab ble Cytrox først etablert som en nordmakedonsk oppstart. Siden den gang har selskapet etablert en bedriftsnærvær i Israel og Ungarn og antas å ha levert spyware og nulldagers utnyttelser til sine kunder. En rapport fra Googles TAG (Threat Analysis Group) har bekreftet at disse trusselaktørene er lokalisert i flere land over hele verden, inkludert Egypt, Hellas, Spania, Armenia, Côte d'Ivoire, Madagaskar og Indonesia.

Detaljer om Predator

Predator er et spionprogram som kan infisere både iOS- og Android-enheter. Trusselen distribueres til enhetene via en laster i forrige trinn. I de tre angrepskampanjene som er beskrevet i Google TAG-rapporten, ble lasteren identifisert som ALIEN , et ganske enkelt malware-implantat som kan injisere seg selv i flere privilegerte prosesser. Når trusselen er etablert, kan den motta kommandoer fra Predator via IPC. Noen av de bekreftede kommandoene inkluderer å lage lydopptak, legge til CA-sertifikater og skjule spesifikke apper. På iOS-enheter kan Predator etablere utholdenhet ved å utnytte iOS-automatiseringsfunksjonen.

Infeksjonskjeden til de tre analyserte Android-angrepskampanjene begynner med levering av engangslenker til de valgte målene via e-post. Linkene ser ut som de fra URL shortener-tjenester. Når målet klikker på den angitte lenken, blir de omdirigert til et ødelagt domene kontrollert av angriperne. Der utnytter nettkriminelle null- og n-dagers sårbarheter for å kompromittere enheten før de åpner et legitimt nettsted i offerets nettleser. Hvis den første lenken ikke er aktiv, vil den føre til en legitim destinasjon direkte.

Trender

Mest sett

Laster inn...