Рост активности шпионского ПО Predator в Африке и мире
Вредоносное ПО Predator mobile возвращается к активности и расширяет географию атак
Несмотря на санкции и широкий резонанс вокруг вредоносной программы Predator mobile, она не только продолжает функционировать, но и стремительно набирает обороты. По данным аналитиков Insikt Group, после временного спада, связанного с введёнными США санкциями против консорциума Intellexa, ответственного за разработку шпионского ПО, операторы Predator восстановили активность, расширив её на новые регионы, в частности, Мозамбик.
Рост активности в новых регионах
Примечательно, что существенная часть пострадавших находится в Африке, где более половины обнаруженных клиентов Predator. Это свидетельствует о продолжающемся распространении вредоносного ПО в странах с исторически уязвимыми механизмами защиты конфиденциальности и гражданских свобод.
Технические особенности Predator mobile
- Разработано для платформ Android и iOS.
- Обладает широкой функциональностью для скрытого наблюдения: полный доступ к микрофону, камере и конфиденциальным данным устройств.
- Использует модульную архитектуру на базе Python, позволяющую операторам дистанционно обновлять и расширять функции ПО.
- Методы доставки включают:
- Атаки «в один клик», требующие социальной инженерии и перехода жертвы по вредоносным ссылкам.
- Эксплойты «в 0 кликов», позволяющие автоматически заражать устройство без вовлечения пользователя. Хотя они менее сложны, чем, например, у Pegasus от NSO Group.
Злоупотребления и жертвы
Predator связывают с операторами более чем в десятке стран. Многочисленные случаи заражения зафиксированы среди представителей гражданского общества — активистов и журналистов, что прямо указывает на умышленное использование вредоносного ПО для подавления и слежки за оппонентами власти и независимыми медиа.
Инфраструктура и тактика маскировки
В ходе расследования Insikt Group обнаружила множество новых элементов инфраструктуры Predator, включая серверы уровня 1 и дополнительные компоненты, вероятно, связанные с известными операторами.
- Инфраструктура регулярно меняется, чтобы избежать обнаружения.
- Для маскировки используется широкий спектр номеров автономных систем (ASN).
- Создаются поддельные веб-сайты, имитирующие легитимные местные службы.
- Недавние домены перестали маскироваться под известные организации, используя случайные словосочетания, что указывает на эволюцию методов обфускации.
Риски и перспективы
Повышенная сложность и технологический прогресс в сфере шпионских программ создают серьёзные угрозы для конфиденциальности и правовых норм во многих странах, особенно с учётом истории нарушений гражданских свобод.
Insikt Group предупреждает, что рынок spyware-наёмников продолжит расти под влиянием спроса и технологических инноваций. Операторы подобных программ будут постоянно совершенствовать инструменты в ответ на усиление кибербезопасности и изменение законодательства.
Связи с корпоративными структурами и обход санкций
Особое внимание аналитиков привлекла связь инфраструктуры Predator с чешской компанией, ранее связанной с Intellexa. Комплексные корпоративные структуры могут использоваться для обхода санкций, что усложняет борьбу с распространением вредоносного ПО.
Расширение целевой аудитории и новые тактики
Вредоносное ПО Predator постепенно ориентируется на конкретные демографические группы, а используемые операторами методы ведения операций развиваются. В частности, растёт использование:
- Облачных резервных копий для хранения и распространения вредоносного ПО.
- Персонализированных фишинговых кампаний, увеличивающих эффективность социальной инженерии.
В результате растут риски для политических, корпоративных и социальных институтов, что требует повышенного внимания к вопросам информационной безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
