Predator Mobile Malware

Aktéri hrozieb podporovaní vládou používajú mobilnú malvérovú hrozbu sledovanú ako Predator na infikovanie mobilných zariadení vybraných cieľov. Počiatky hrozby Predator sú spojené s komerčnou sledovacou spoločnosťou s názvom Cytrox. Podľa zistení CitizenLab bol Cytrox najprv založený ako severomacedónsky start-up. Odvtedy si spoločnosť vybudovala zastúpenie v Izraeli a Maďarsku a predpokladá sa, že svojim klientom dodáva spyware a zero-day exploity. Správa TAG (Skupina pre analýzu hrozieb) spoločnosti Google potvrdila, že títo aktéri hrozieb sa nachádzajú vo viacerých krajinách sveta vrátane Egypta, Grécka, Španielska, Arménska, Pobrežia Slonoviny, Madagaskaru a Indonézie.

Podrobnosti o Predátorovi

Predator je spyware, ktorý môže infikovať zariadenia so systémom iOS aj Android. Hrozba je nasadená do zariadení prostredníctvom zavádzača predchádzajúcej fázy. V troch útočných kampaniach podrobne popísaných v správe Google TAG bol nakladač identifikovaný ako ALIEN , pomerne jednoduchý malvérový implantát, ktorý sa môže vložiť do viacerých privilegovaných procesov. Po vytvorení môže hrozba prijímať príkazy od Predatora cez IPC. Niektoré z potvrdených príkazov zahŕňajú vytváranie zvukových nahrávok, pridávanie certifikátov CA a skrytie konkrétnych aplikácií. Na zariadeniach so systémom iOS môže Predator zabezpečiť vytrvalosť využitím funkcie automatizácie iOS.

Infekčný reťazec troch analyzovaných kampaní zameraných na útoky na Android začína doručením jednorazových odkazov na vybrané ciele prostredníctvom e-mailu. Odkazy vyzerajú podobne ako odkazy zo služieb skracovania adries URL. Keď cieľ klikne na poskytnutý odkaz, bude presmerovaný na poškodenú doménu kontrolovanú útočníkmi. Tam kyberzločinci využívajú nulové a n-dňové zraniteľnosti na kompromitáciu zariadenia pred otvorením legitímnej webovej stránky vo webovom prehliadači obete. Ak počiatočný odkaz nie je aktívny, povedie priamo na legitímny cieľ.