Predator Mobile Malware

政府が支援する脅威アクターは、Predatorとして追跡されるモバイルマルウェアの脅威を使用して、選択したターゲットのモバイルデバイスに感染しています。プレデターの脅威の起源は、Cytroxと呼ばれる商業監視会社に関連しています。 CitizenLabの調査結果によると、Cytroxは北マケドニアの新興企業として最初に設立されました。それ以来、同社はイスラエルとハンガリーに企業プレゼンスを確立し、クライアントにスパイウェアとゼロデイエクスプロイトを提供したと考えられています。 GoogleのTAG（Threat Analysis Group）のレポートによると、これらの脅威アクターは、エジプト、ギリシャ、スペイン、アルメニア、コートジボワール、マダガスカル、インドネシアなど、世界中の複数の国に存在しています。

プレデターについての詳細

Predatorは、iOSデバイスとAndroidデバイスの両方に感染する可能性のあるスパイウェアです。脅威は、前段階のローダーを介してデバイスに展開されます。 Google TAGレポートで詳しく説明されている3つの攻撃キャンペーンでは、ローダーはALIENとして識別されました。これは、複数の特権プロセスに自身を注入できる非常に単純なマルウェアの埋め込みです。確立されると、脅威はIPCを介してPredatorからコマンドを受信できます。確認されたコマンドには、音声録音の作成、CA証明書の追加、特定のアプリの非表示などがあります。 iOSデバイスでは、PredatorはiOS自動化機能を利用して永続性を確立できます。

分析された3つのAndroid攻撃キャンペーンの感染チェーンは、選択したターゲットへの1回限りのリンクを電子メールで配信することから始まります。リンクは、URL短縮サービスのリンクと同じように表示されます。ターゲットが提供されたリンクをクリックすると、攻撃者によって制御されている破損したドメインにリダイレクトされます。そこで、サイバー犯罪者は、被害者のWebブラウザーで正規のWebサイトを開く前に、ゼロおよびn日間の脆弱性を悪用してデバイスを侵害します。最初のリンクがアクティブでない場合は、正当な宛先に直接つながります。