Predator Mobile Malware

Gumagamit ang mga aktor ng pagbabanta na sinusuportahan ng gobyerno ng banta sa mobile malware na sinusubaybayan bilang Predator, upang mahawahan ang mga mobile device ng mga piling target. Ang mga pinagmulan ng banta ng Predator ay na-link sa isang komersyal na kumpanya ng pagsubaybay na tinatawag na Cytrox. Ayon sa mga natuklasan ng CitizenLab, ang Cytrox ay unang itinatag bilang isang North Macedonian start-up. Mula noon ang kumpanya ay nagtatag ng isang corporate presence sa Israel at Hungary at pinaniniwalaang nag-supply ng spyware at zero-day exploits sa mga kliyente nito. Kinumpirma ng isang ulat ng TAG (Threat Analysis Group) ng Google na ang mga banta ng aktor na ito ay matatagpuan sa maraming bansa sa buong mundo, kabilang ang Egypt, Greece, Spain, Armenia, Côte d'Ivoire, Madagascar, at Indonesia.

Mga detalye tungkol sa Predator

Ang Predator ay isang spyware na maaaring makahawa sa parehong iOS at Android device. Ang banta ay idini-deploy sa mga device sa pamamagitan ng dating-stage loader. Sa tatlong campaign sa pag-atake na nakadetalye sa ulat ng Google TAG, natukoy ang loader bilang ALIEN , isang medyo simpleng malware implant na maaaring mag-inject ng sarili nito sa maraming privileged na proseso. Kapag naitatag na, ang banta ay makakatanggap ng mga utos mula sa Predator sa pamamagitan ng IPC. Kasama sa ilan sa mga nakumpirmang command ang paggawa ng mga audio recording, pagdaragdag ng mga CA certificate, at pagtatago ng mga partikular na app. Sa mga iOS device, maaaring magtatag ang Predator ng pagtitiyaga sa pamamagitan ng pagsasamantala sa feature ng iOS automation.

Ang chain ng impeksyon ng tatlong sinuri na mga kampanya sa pag-atake sa Android ay nagsisimula sa paghahatid ng isang beses na mga link sa mga napiling target sa pamamagitan ng email. Ang mga link ay mukhang katulad ng mula sa mga serbisyo ng URL shortener. Kapag nag-click ang target sa ibinigay na link, ire-redirect sila sa isang sira na domain na kinokontrol ng mga umaatake. Doon, sinasamantala ng mga cybercriminal ang zero at n-day vulnerabilities para ikompromiso ang device bago magbukas ng lehitimong website sa Web browser ng biktima. Kung hindi aktibo ang paunang link, direktang hahantong ito sa isang lehitimong destinasyon.