Predator Mobile Malware

Актери претњи које подржава влада користе претњу мобилног малвера праћену као Предатор, да заразе мобилне уређаје одабраних циљева. Порекло претње Предатор повезано је са компанијом за комерцијални надзор под називом Цитрок. Према налазима ЦитизенЛаб-а, Цитрок је прво основан као старт-уп у Северној Македонији. Од тада је компанија успоставила корпоративно присуство у Израелу и Мађарској и верује се да је својим клијентима испоручивала шпијунски софтвер и експлоатације нултог дана. Извештај Гоогле-овог ТАГ-а (Група за анализу претњи) је потврдио да се ови актери претњи налазе у више земаља широм света, укључујући Египат, Грчку, Шпанију, Јерменију, Обалу Слоноваче, Мадагаскар и Индонезију.

Детаљи о Предатору

Предатор је шпијунски софтвер који може заразити и иОС и Андроид уређаје. Претња се поставља на уређаје преко учитавача претходне фазе. У три кампање напада детаљно описане у Гоогле ТАГ извештају, учитавач је идентификован као АЛИЕН , прилично једноставан имплант малвера који се може убризгати у више привилегованих процеса. Једном успостављена, претња може да прима команде од Предатора преко ИПЦ-а. Неке од потврђених команди укључују прављење аудио снимака, додавање ЦА сертификата и скривање одређених апликација. На иОС уређајима, Предатор може да успостави постојаност коришћењем функције аутоматизације иОС-а.

Ланац заразе три анализиране Андроид нападне кампање почиње испоруком једнократних веза ка одабраним циљевима путем е-поште. Везе изгледају сличне онима из услуга скраћивања УРЛ-ова. Када мета кликне на обезбеђену везу, преусмерава се на оштећени домен који контролишу нападачи. Тамо, сајбер криминалци користе рањивости нула и н дана да би компромитовали уређај пре него што отворе легитимну веб локацију у веб претраживачу жртве. Ако почетна веза није активна, она ће директно водити до легитимног одредишта.