Predator Mobile Malware

Regeringsstödda hotaktörer använder ett mobilt skadligt hot som spåras som Predator, för att infektera utvalda måls mobila enheter. Ursprunget till Predator-hotet har kopplats till ett kommersiellt övervakningsföretag som heter Cytrox. Enligt resultaten från CitizenLab etablerades Cytrox först som en nordmakedonsk start-up. Sedan dess har företaget etablerat en företagsnärvaro i Israel och Ungern och tros ha levererat spionprogram och zero-day exploits till sina kunder. En rapport från Googles TAG (Threat Analysis Group) har bekräftat att dessa hotaktörer finns i flera länder över hela världen, inklusive Egypten, Grekland, Spanien, Armenien, Elfenbenskusten, Madagaskar och Indonesien.

Detaljer om Predator

Predator är ett spionprogram som kan infektera både iOS- och Android-enheter. Hotet distribueras till enheterna via en laddare i föregående steg. I de tre attackkampanjerna som beskrivs i Google TAG-rapporten identifierades laddaren som ALIEN , ett ganska enkelt skadligt implantat som kan injicera sig själv i flera privilegierade processer. När hotet väl har etablerats kan det ta emot kommandon från Predator via IPC. Några av de bekräftade kommandona inkluderar att göra ljudinspelningar, lägga till CA-certifikat och dölja specifika appar. På iOS-enheter kan Predator skapa uthållighet genom att utnyttja iOS-automatiseringsfunktionen.

Infektionskedjan för de tre analyserade Android-attackkampanjerna börjar med leverans av engångslänkar till de valda målen via e-post. Länkarna liknar de från URL-förkortningstjänster. När målet klickar på den angivna länken omdirigeras de till en skadad domän som kontrolleras av angriparna. Där utnyttjar cyberbrottslingarna noll och n-dagars sårbarheter för att äventyra enheten innan de öppnar en legitim webbplats i offrets webbläsare. Om den första länken inte är aktiv leder den direkt till en legitim destination.