Predator Mobile Malware
政府支持的威胁参与者正在使用被跟踪为 Predator 的移动恶意软件威胁来感染选定目标的移动设备。 Predator 威胁的起源与一家名为 Cytrox 的商业监控公司有关。根据 CitizenLab 的调查结果,Cytrox 最初是一家位于北马其顿的初创公司。从那时起,该公司在以色列和匈牙利建立了公司,据信向其客户提供了间谍软件和零日漏洞。谷歌 TAG(威胁分析小组)的一份报告证实,这些威胁参与者分布在世界多个国家,包括埃及、希腊、西班牙、亚美尼亚、科特迪瓦、马达加斯加和印度尼西亚。
捕食者的详细信息
Predator 是一种间谍软件,可以同时感染 iOS 和 Android 设备。威胁通过前一阶段的加载程序部署到设备。在 Google TAG 报告中详述的三个攻击活动中,加载程序被识别为ALIEN ,这是一种相当简单的恶意软件植入物,可以将自身注入到多个特权进程中。一旦建立,威胁可以通过 IPC 接收来自 Predator 的命令。一些已确认的命令包括录音、添加 CA 证书和隐藏特定应用程序。在 iOS 设备上,Predator 可以通过利用 iOS 自动化功能来建立持久性。
所分析的三个 Android 攻击活动的感染链始于通过电子邮件向选定目标提供一次性链接。这些链接看起来类似于 URL 缩短服务中的链接。当目标单击提供的链接时,它们会被重定向到攻击者控制的损坏域。在那里,网络犯罪分子利用零日和 n 日漏洞来破坏设备,然后在受害者的 Web 浏览器中打开合法网站。如果初始链接不活跃,它将直接指向合法目的地。
