Predator Mobile Malware retter seg mot Android-telefoner

Sikkerhetsforskere med Googles Threat Analysis Group (TAG) har nylig publisert detaljert informasjon om et stykke mobil skadelig programvare som påvirker Android-enheter. Den mobile skadevare heter PEDATOR og ble brukt i flere separate kampanjer.

Metoden trusselaktører brukte for å spre Predator var gjennom et annet stykke mobil malware, passende kalt ALIEN. Alien ble brukt som en loader for Predator malware og misbrukte privilegerte prosesser i kompromitterte enheter. Den ondsinnede kombinasjonen av verktøy var i stand til å ta opp lyd fra den kompromitterte enheten, samt skjule installerte applikasjoner og legge til CA-sertifikater.

De tre separate kampanjene som ble brukt til å spre den mobile malware-kombinasjonen av Alien og Predator fant sted over flere måneder i 2021, mellom august og oktober. Angrepene var rettet mot en sårbarhet i Chrome-nettleseren og Samsung-telefoner. Den andre kampanjen misbrukte to dokumenterte sårbarheter kodifisert under CVE-2021-37973 og CVE-2021-37976, henholdsvis en bruk-etter-fri feil og en informasjonslekkasje i en tjeneste.

Den tredje kampanjen misbrukte et par zero-day-sårbarheter i Android-utgaven av Chrome, nå logget under CVE-2021-38003 og CVE-2021-1048.

Sikkerhetene ble oppdaget og rettet raskt av Google tilbake i 2021, og denne oppdateringen er mer en oppfølging, og gir noen ytterligere detaljer om angrepene.