Predator Mobile Malware

ผู้คุกคามที่ได้รับการสนับสนุนจากรัฐบาลกำลังใช้ภัยคุกคามจากมัลแวร์บนอุปกรณ์พกพาที่ติดตามในฐานะ Predator เพื่อแพร่เชื้อไปยังอุปกรณ์มือถือของเป้าหมายที่เลือก ต้นกำเนิดของภัยคุกคาม Predator นั้นเชื่อมโยงกับบริษัทเฝ้าระวังเชิงพาณิชย์ชื่อ Cytrox จากผลการวิจัยของ CitizenLab พบว่า Cytrox ก่อตั้งขึ้นครั้งแรกในฐานะบริษัทสตาร์ทอัพในนอร์ทมาซิโดเนีย ตั้งแต่นั้นมา บริษัทก็ได้จัดตั้งองค์กรในอิสราเอลและฮังการี และเชื่อว่าได้จัดหาสปายแวร์และการหาประโยชน์แบบซีโร่เดย์ให้กับลูกค้า รายงานโดย TAG ของ Google (กลุ่มวิเคราะห์ภัยคุกคาม) ยืนยันว่าผู้คุกคามเหล่านี้ตั้งอยู่ในหลายประเทศทั่วโลก รวมถึงอียิปต์ กรีซ สเปน อาร์เมเนีย โกตดิวัวร์ มาดากัสการ์ และอินโดนีเซีย

รายละเอียดเกี่ยวกับพรีเดเตอร์

Predator เป็นสปายแวร์ที่สามารถแพร่เชื้อได้ทั้งอุปกรณ์ iOS และ Android ภัยคุกคามถูกนำไปใช้กับอุปกรณ์ผ่านตัวโหลดขั้นตอนก่อนหน้า ในสามแคมเปญโจมตีที่มีรายละเอียดในรายงาน Google TAG ตัวโหลดถูกระบุว่าเป็น ALIEN ซึ่งเป็นมัลแวร์ฝังตัวที่ค่อนข้างง่ายซึ่งสามารถฉีดตัวเองเข้าไปในกระบวนการที่มีสิทธิพิเศษหลายอย่าง เมื่อสร้างแล้ว ภัยคุกคามสามารถรับคำสั่งจาก Predator ผ่าน IPC คำสั่งที่ได้รับการยืนยันบางส่วน ได้แก่ การบันทึกเสียง การเพิ่มใบรับรอง CA และการซ่อนแอปเฉพาะ บนอุปกรณ์ iOS Predator สามารถสร้างความคงอยู่ได้โดยใช้ประโยชน์จากคุณสมบัติการทำงานอัตโนมัติของ iOS

ห่วงโซ่การแพร่ระบาดของแคมเปญโจมตี Android ที่วิเคราะห์ทั้งสามแคมเปญเริ่มต้นด้วยการส่งลิงก์แบบครั้งเดียวไปยังเป้าหมายที่เลือกผ่านอีเมล ลิงก์จะคล้ายกับลิงก์จากบริการย่อ URL เมื่อเป้าหมายคลิกลิงก์ที่ให้มา พวกเขาจะถูกเปลี่ยนเส้นทางไปยังโดเมนที่เสียหายซึ่งควบคุมโดยผู้โจมตี ที่นั่น อาชญากรไซเบอร์ใช้ประโยชน์จากช่องโหว่ศูนย์และ n-day เพื่อประนีประนอมอุปกรณ์ก่อนที่จะเปิดเว็บไซต์ที่ถูกต้องในเว็บเบราว์เซอร์ของเหยื่อ หากลิงค์เริ่มต้นไม่ทำงาน มันจะนำไปสู่ปลายทางที่ถูกต้องโดยตรง