Predator Mobile Malware
Los actores de amenazas respaldados por el gobierno están utilizando una amenaza de malware móvil rastreada como Predator, para infectar los dispositivos móviles de objetivos seleccionados. Los orígenes de la amenaza Predator se han relacionado con una empresa de vigilancia comercial llamada Cytrox. Según los hallazgos de CitizenLab, Cytrox se estableció por primera vez como una empresa emergente de Macedonia del Norte. Desde entonces, la empresa ha establecido una presencia corporativa en Israel y Hungría y se cree que ha suministrado spyware y exploits de día cero a sus clientes. Un informe del TAG (Threat Analysis Group) de Google ha confirmado que estos actores de amenazas se encuentran en varios países del mundo, incluidos Egipto, Grecia, España, Armenia, Costa de Marfil, Madagascar e Indonesia.
Detalles sobre el depredador
Predator es un software espía que puede infectar dispositivos iOS y Android. La amenaza se implementa en los dispositivos a través de un cargador de etapa anterior. En las tres campañas de ataque detalladas en el informe TAG de Google, el cargador se identificó como ALIEN , un implante de malware bastante simple que puede inyectarse en múltiples procesos privilegiados. Una vez establecida, la amenaza puede recibir comandos de Predator a través de IPC. Algunos de los comandos confirmados incluyen hacer grabaciones de audio, agregar certificados de CA y ocultar aplicaciones específicas. En los dispositivos iOS, Predator puede establecer la persistencia explotando la función de automatización de iOS.
La cadena de infección de las tres campañas de ataque a Android analizadas comienza con la entrega de enlaces únicos a los objetivos elegidos por correo electrónico. Los enlaces parecen similares a los de los servicios de acortadores de URL. Cuando el objetivo hace clic en el enlace proporcionado, se le redirige a un dominio corrupto controlado por los atacantes. Allí, los ciberdelincuentes aprovechan las vulnerabilidades de día cero y día n para comprometer el dispositivo antes de abrir un sitio web legítimo en el navegador web de la víctima. Si el enlace inicial no está activo, conducirá directamente a un destino legítimo.
