Predator Mobile Malware

Злоумышленники, поддерживаемые правительством, используют мобильное вредоносное ПО, отслеживаемое как Predator, для заражения мобильных устройств избранных целей. Происхождение угрозы Predator связывают с коммерческой компанией по наблюдению Cytrox. Согласно выводам CitizenLab, Cytrox изначально создавался как стартап в Северной Македонии. С тех пор компания установила корпоративное присутствие в Израиле и Венгрии и, как полагают, поставляет своим клиентам шпионское ПО и эксплойты нулевого дня. Отчет TAG (Threat Analysis Group) Google подтвердил, что эти субъекты угроз находятся в нескольких странах мира, включая Египет, Грецию, Испанию, Армению, Кот-д'Ивуар, Мадагаскар и Индонезию.

Подробности о Хищнике

Predator — это шпионское ПО, способное заражать как iOS, так и Android-устройства. Угроза развертывается на устройствах через загрузчик предыдущего этапа. В трех атаках, подробно описанных в отчете Google TAG, загрузчик был идентифицирован как ALIEN , довольно простой вредоносный имплант, который может внедряться в несколько привилегированных процессов. После установки угроза может получать команды от Predator через IPC. Некоторые из подтвержденных команд включают в себя создание аудиозаписей, добавление сертификатов ЦС и скрытие определенных приложений. На устройствах iOS Predator может установить постоянство, используя функцию автоматизации iOS.

Цепочка заражения трех проанализированных атак на Android начинается с доставки одноразовых ссылок выбранным целям по электронной почте. Ссылки кажутся похожими на ссылки из служб сокращения URL-адресов. Когда цель щелкает предоставленную ссылку, она перенаправляется на поврежденный домен, контролируемый злоумышленниками. Там киберпреступники используют уязвимости нулевого дня и дня n, чтобы скомпрометировать устройство, прежде чем открыть легитимный веб-сайт в веб-браузере жертвы. Если первоначальная ссылка не активна, она ведет напрямую к законному месту назначения.