Predator Mobile Malware
政府支持的威脅參與者正在使用被跟踪為 Predator 的移動惡意軟件威脅來感染選定目標的移動設備。 Predator 威脅的起源與一家名為 Cytrox 的商業監控公司有關。根據 CitizenLab 的調查結果,Cytrox 最初是一家位於北馬其頓的初創公司。從那時起,該公司在以色列和匈牙利建立了公司,據信向其客戶提供了間諜軟件和零日漏洞。谷歌 TAG(威脅分析小組)的一份報告證實,這些威脅參與者分佈在世界多個國家,包括埃及、希臘、西班牙、亞美尼亞、科特迪瓦、馬達加斯加和印度尼西亞。
捕食者的詳細信息
Predator 是一種間諜軟件,可以同時感染 iOS 和 Android 設備。威脅通過前一階段的加載程序部署到設備。在 Google TAG 報告中詳述的三個攻擊活動中,加載程序被識別為ALIEN ,這是一種相當簡單的惡意軟件植入物,可以將自身注入到多個特權進程中。一旦建立,威脅可以通過 IPC 接收來自 Predator 的命令。一些已確認的命令包括錄音、添加 CA 證書和隱藏特定應用程序。在 iOS 設備上,Predator 可以通過利用 iOS 自動化功能來建立持久性。
所分析的三個 Android 攻擊活動的感染鏈始於通過電子郵件向選定目標提供一次性鏈接。這些鏈接看起來類似於 URL 縮短服務中的鏈接。當目標單擊提供的鏈接時,它們會被重定向到攻擊者控制的損壞域。在那裡,網絡犯罪分子利用零日和 n 日漏洞來破壞設備,然後在受害者的 Web 瀏覽器中打開合法網站。如果初始鏈接不活躍,它將直接指向合法目的地。
