Predator Mobile Malware cible les téléphones Android

Les chercheurs en sécurité du Threat Analysis Group (TAG) de Google ont récemment publié des informations détaillées sur un malware mobile affectant les appareils Android. Le malware mobile s'appelle PEDATOR et a été utilisé dans plusieurs campagnes distinctes.

La méthode utilisée par les acteurs de la menace pour propager Predator était par le biais d'un autre logiciel malveillant mobile, nommé à juste titre ALIEN. Alien a été utilisé comme chargeur pour le malware Predator et a abusé des processus privilégiés dans les appareils compromis. La combinaison d'outils malveillants a pu enregistrer l'audio de l'appareil compromis, masquer les applications installées et ajouter des certificats CA.

Les trois campagnes distinctes qui ont été utilisées pour diffuser le combo de logiciels malveillants mobiles Alien et Predator se sont déroulées sur plusieurs mois en 2021, s'étendant entre août et octobre. Les attaques ciblaient une vulnérabilité du navigateur Chrome et des téléphones Samsung. La deuxième campagne a abusé de deux vulnérabilités documentées codifiées sous CVE-2021-37973 et CVE-2021-37976, respectivement une faille d'utilisation après libération et une fuite d'informations dans un service.

La troisième campagne a abusé de quelques vulnérabilités zero-day dans la version Android de Chrome, désormais enregistrées sous CVE-2021-38003 et CVE-2021-1048.

Les vulnérabilités ont été découvertes et corrigées rapidement par Google en 2021, et cette mise à jour est plutôt un suivi, fournissant quelques détails supplémentaires sur les attaques.