Mobile Predator-Malware

Von der Regierung unterstützte Bedrohungsakteure verwenden eine als Predator verfolgte mobile Malware-Bedrohung, um die Mobilgeräte ausgewählter Ziele zu infizieren. Die Ursprünge der Predator-Bedrohung wurden mit einem kommerziellen Überwachungsunternehmen namens Cytrox in Verbindung gebracht. Nach den Erkenntnissen von CitizenLab wurde Cytrox zunächst als nordmazedonisches Start-up gegründet. Seitdem hat das Unternehmen eine Unternehmenspräsenz in Israel und Ungarn aufgebaut und soll seinen Kunden Spyware und Zero-Day-Exploits geliefert haben. Ein Bericht der TAG (Threat Analysis Group) von Google hat bestätigt, dass diese Bedrohungsakteure in mehreren Ländern auf der ganzen Welt ansässig sind, darunter Ägypten, Griechenland, Spanien, Armenien, Côte d'Ivoire, Madagaskar und Indonesien.

Details zu Raubtier

Predator ist eine Spyware, die sowohl iOS- als auch Android-Geräte infizieren kann. Die Bedrohung wird über einen Loader der vorherigen Stufe auf den Geräten bereitgestellt. In den drei im Google TAG-Bericht aufgeführten Angriffskampagnen wurde der Loader als ALIEN identifiziert, ein ziemlich einfaches Malware-Implantat, das sich in mehrere privilegierte Prozesse einschleusen kann. Einmal eingerichtet, kann die Bedrohung Befehle von Predator über IPC empfangen. Einige der bestätigten Befehle umfassen das Erstellen von Audioaufnahmen, das Hinzufügen von CA-Zertifikaten und das Ausblenden bestimmter Apps. Auf iOS-Geräten kann Predator Persistenz herstellen, indem es die iOS-Automatisierungsfunktion ausnutzt.

Die Infektionskette der drei analysierten Android-Angriffskampagnen beginnt mit der Zustellung einmaliger Links zu den ausgewählten Zielen per E-Mail. Die Links sehen denen von URL-Shortener-Diensten ähnlich. Wenn das Ziel auf den bereitgestellten Link klickt, wird es zu einer beschädigten Domäne umgeleitet, die von den Angreifern kontrolliert wird. Dort nutzen die Cyberkriminellen Zero- und N-Day-Schwachstellen aus, um das Gerät zu kompromittieren, bevor sie eine legitime Website im Webbrowser des Opfers öffnen. Wenn der anfängliche Link nicht aktiv ist, führt er direkt zu einem legitimen Ziel.