Mobilne złośliwe oprogramowanie Predator atakuje telefony z systemem Android

Badacze bezpieczeństwa z Google Threat Analysis Group (TAG) opublikowali niedawno szczegółowe informacje na temat mobilnego szkodliwego oprogramowania atakującego urządzenia z Androidem. Mobilne szkodliwe oprogramowanie nosi nazwę PEDATOR i było wykorzystywane w kilku oddzielnych kampaniach.

Metoda cyberprzestępców wykorzystywana do rozprzestrzeniania Predatora polegała na innym szkodliwym oprogramowaniu mobilnym, trafnie nazwanym ALIEN. Alien był używany jako program ładujący dla złośliwego oprogramowania Predator i nadużywał uprzywilejowanych procesów w zaatakowanych urządzeniach. Złośliwa kombinacja narzędzi była w stanie nagrywać dźwięk z zaatakowanego urządzenia, a także ukrywać zainstalowane aplikacje i dodawać certyfikaty CA.

Trzy oddzielne kampanie, które zostały wykorzystane do rozprzestrzeniania kombinacji mobilnego szkodliwego oprogramowania Alien i Predator, miały miejsce w ciągu kilku miesięcy w 2021 r., rozciągając się od sierpnia do października. Celem ataków była luka w zabezpieczeniach przeglądarki Chrome i telefonów Samsung. Druga kampania wykorzystywała dwie udokumentowane luki w zabezpieczeniach skodyfikowane pod CVE-2021-37973 i CVE-2021-37976, odpowiednio jako usterkę typu use-after-free i wyciek informacji w usłudze.

Trzecia kampania wykorzystywała kilka luk zero-day w wersji przeglądarki Chrome na Androida, obecnie zarejestrowanej pod CVE-2021-38003 i CVE-2021-1048.

Luki zostały wykryte i szybko załatane przez Google już w 2021 roku, a ta aktualizacja jest raczej kontynuacją, dostarczając dalszych szczegółów na temat ataków.