Predator Mobile Malware prende di mira i telefoni Android

I ricercatori di sicurezza del Threat Analysis Group (TAG) di Google hanno recentemente pubblicato informazioni dettagliate su un malware mobile che colpisce i dispositivi Android. Il malware mobile si chiama PEDATOR ed è stato utilizzato in diverse campagne separate.

Il metodo utilizzato dagli attori delle minacce per diffondere Predator era attraverso un altro malware mobile, opportunamente chiamato ALIEN. Alien è stato utilizzato come caricatore per il malware Predator e ha abusato dei processi privilegiati nei dispositivi compromessi. La combinazione di strumenti dannosi è stata in grado di registrare l'audio dal dispositivo compromesso, nascondere le applicazioni installate e aggiungere certificati CA.

Le tre campagne separate utilizzate per diffondere la combinazione di malware mobile di Alien e Predator si sono svolte nell'arco di diversi mesi nel 2021, tra agosto e ottobre. Gli attacchi hanno preso di mira una vulnerabilità nel browser Chrome e nei telefoni Samsung. La seconda campagna ha abusato di due vulnerabilità documentate codificate in CVE-2021-37973 e CVE-2021-37976, rispettivamente un difetto use-after-free e una fuga di informazioni in un servizio.

La terza campagna ha abusato di un paio di vulnerabilità zero-day nella versione Android di Chrome, ora registrata con CVE-2021-38003 e CVE-2021-1048.

Le vulnerabilità sono state scoperte e corrette rapidamente da Google nel 2021 e questo aggiornamento è più un seguito, fornendo alcune ulteriori specifiche sugli attacchi.