Predator Mobile Malware

Door de overheid gesteunde bedreigingsactoren gebruiken een mobiele malwarebedreiging die wordt gevolgd als Predator, om de mobiele apparaten van geselecteerde doelen te infecteren. De oorsprong van de Predator-dreiging is in verband gebracht met een commercieel bewakingsbedrijf genaamd Cytrox. Volgens de bevindingen van CitizenLab werd Cytrox voor het eerst opgericht als een Noord-Macedonische start-up. Sindsdien heeft het bedrijf een zakelijke aanwezigheid gevestigd in Israël en Hongarije en wordt aangenomen dat het spyware en zero-day exploits aan zijn klanten heeft geleverd. Een rapport van Google's TAG (Threat Analysis Group) heeft bevestigd dat deze bedreigingsactoren zich in meerdere landen over de hele wereld bevinden, waaronder Egypte, Griekenland, Spanje, Armenië, Ivoorkust, Madagaskar en Indonesië.

Details over Predator

Predator is een spyware die zowel iOS- als Android-apparaten kan infecteren. De dreiging wordt via een loader in een eerdere fase op de apparaten geplaatst. In de drie aanvalscampagnes die in het Google TAG-rapport worden beschreven, werd de loader geïdentificeerd als ALIEN , een vrij eenvoudig malware-implantaat dat zichzelf in meerdere geprivilegieerde processen kan injecteren. Eenmaal vastgesteld, kan de dreiging via IPC opdrachten ontvangen van Predator. Enkele van de bevestigde opdrachten zijn het maken van audio-opnamen, het toevoegen van CA-certificaten en het verbergen van specifieke apps. Op iOS-apparaten kan Predator persistentie tot stand brengen door gebruik te maken van de iOS-automatiseringsfunctie.

De infectieketen van de drie geanalyseerde Android-aanvalscampagnes begint met de levering van eenmalige links naar de gekozen doelen via e-mail. De links lijken op die van URL-verkortingsservices. Wanneer het doelwit op de verstrekte link klikt, worden ze omgeleid naar een beschadigd domein dat wordt beheerd door de aanvallers. Daar exploiteren de cybercriminelen zero- en n-day-kwetsbaarheden om het apparaat te compromitteren voordat ze een legitieme website openen in de webbrowser van het slachtoffer. Als de initiële link niet actief is, leidt deze direct naar een legitieme bestemming.