Predator Mobile Malware richt zich op Android-telefoons

Beveiligingsonderzoekers van de Threat Analysis Group (TAG) van Google hebben onlangs gedetailleerde informatie gepubliceerd over een stukje mobiele malware die Android-apparaten aantast. De mobiele malware heet PEDATOR en werd in verschillende afzonderlijke campagnes gebruikt.

De methode die dreigingsactoren gebruikten om Predator te verspreiden, was via een ander stuk mobiele malware, met de toepasselijke naam ALIEN. Alien werd gebruikt als een lader voor de Predator-malware en misbruikte geprivilegieerde processen op gecompromitteerde apparaten. De kwaadaardige combinatie van tools was in staat om audio van het gecompromitteerde apparaat op te nemen, geïnstalleerde applicaties te verbergen en CA-certificaten toe te voegen.

De drie afzonderlijke campagnes die werden gebruikt om de mobiele malwarecombinatie van Alien en Predator te verspreiden, vonden plaats over meerdere maanden in 2021, tussen augustus en oktober. De aanvallen waren gericht op een kwetsbaarheid in de Chrome-browser en Samsung-telefoons. De tweede campagne maakte misbruik van twee gedocumenteerde kwetsbaarheden die zijn vastgelegd onder CVE-2021-37973 en CVE-2021-37976, respectievelijk een use-after-free-fout en een informatielek in een service.

De derde campagne misbruikte een aantal zero-day-kwetsbaarheden in de Android-release van Chrome, nu vastgelegd onder CVE-2021-38003 en CVE-2021-1048.

De kwetsbaarheden werden in 2021 door Google snel ontdekt en gepatcht, en deze update is meer een vervolg en biedt wat meer details over de aanvallen.