Predator Mobile Malware

Akterji groženj, ki jih podpira vlada, uporabljajo mobilno grožnjo zlonamerne programske opreme, ki ji sledi kot Predator, da okužijo mobilne naprave izbranih ciljev. Izvor grožnje Predator je bil povezan s podjetjem za komercialni nadzor Cytrox. Po ugotovitvah CitizenLaba je bil Cytrox najprej ustanovljen kot severnomakedonski start-up. Od takrat je podjetje vzpostavilo korporativno prisotnost v Izraelu in na Madžarskem in naj bi svojim strankam dobavljalo vohunsko programsko opremo in izkoriščanje ničelnega dne. Poročilo Googlove TAG (Threat Analysis Group) je potrdilo, da se ti akterji grožnje nahajajo v več državah po svetu, vključno z Egiptom, Grčijo, Španijo, Armenijo, Slonokoščeno obalo, Madagaskarjem in Indonezijo.

Podrobnosti o Predatorju

Predator je vohunska programska oprema, ki lahko okuži tako naprave iOS kot Android. Grožnja se na naprave razporedi prek nakladalnika prejšnje stopnje. V treh napadih, podrobno opisanih v poročilu Google TAG, je bil nalagalnik identificiran kot ALIEN , dokaj preprost implantat zlonamerne programske opreme, ki se lahko vbrizga v več privilegiranih procesov. Ko je grožnja enkrat vzpostavljena, lahko prejema ukaze od Predatorja prek IPC. Nekateri potrjeni ukazi vključujejo snemanje zvočnih posnetkov, dodajanje potrdil CA in skrivanje določenih aplikacij. Na napravah iOS lahko Predator vzpostavi obstojnost z izkoriščanjem funkcije avtomatizacije iOS.

Okužbena veriga treh analiziranih napadov na Android se začne z dostavo enkratnih povezav do izbranih ciljev po e-pošti. Povezave so videti podobne tistim iz storitev za krajšanje URL-jev. Ko cilj klikne navedeno povezavo, je preusmerjen na poškodovano domeno, ki jo nadzorujejo napadalci. Tam kibernetski kriminalci izkoriščajo ranljivosti nič in n dni, da ogrozijo napravo, preden odprejo zakonito spletno mesto v spletnem brskalniku žrtve. Če začetna povezava ni aktivna, bo neposredno vodila do zakonitega cilja.