Вредоносное ПО Predator Mobile нацелено на телефоны Android

Исследователи безопасности из группы анализа угроз Google (TAG) недавно опубликовали подробную информацию о мобильной вредоносной программе, поражающей устройства Android. Мобильное вредоносное ПО называется PEDATOR и использовалось в нескольких отдельных кампаниях.

Злоумышленники использовали для распространения Predator еще одно вредоносное ПО для мобильных устройств с подходящим названием ALIEN. Alien использовался в качестве загрузчика вредоносного ПО Predator и злоупотреблял привилегированными процессами на скомпрометированных устройствах. Вредоносная комбинация инструментов могла записывать звук со взломанного устройства, а также скрывать установленные приложения и добавлять сертификаты ЦС.

Три отдельные кампании, которые использовались для распространения комбинации мобильных вредоносных программ Alien и Predator, проводились в течение нескольких месяцев в 2021 году, с августа по октябрь. Атаки были направлены на уязвимость в браузере Chrome и телефонах Samsung. Вторая кампания использовала две задокументированные уязвимости, кодифицированные как CVE-2021-37973 и CVE-2021-37976, соответственно уязвимость использования после освобождения и утечку информации в службе.

Третья кампания использовала пару уязвимостей нулевого дня в версии Chrome для Android, которые теперь зарегистрированы как CVE-2021-38003 и CVE-2021-1048.

Уязвимости были обнаружены и быстро исправлены Google еще в 2021 году, и это обновление является скорее продолжением, предоставляя некоторые дополнительные сведения об атаках.