Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Рост активности шпионского ПО Predator в Африке и мире

3 мин
Несмотря на санкции и широкий резонанс вокруг вредоносной программы Predator mobile, она не только продолжает функционировать, но и стремительно набирает обороты. По данным аналитиков Insikt Group, после временного спада, связанного с введёнными США санкциями против консорциума Intellexa, ответственного за разработку шпионского ПО, операторы Predator восстановили активность, расширив её на новые регионы, в частности, Мозамбик. Примечательно, что существенная часть пострадавших находится в Африке, где более половины обнаруженных клиентов Predator. Это свидетельствует о продолжающемся распространении вредоносного ПО в странах с исторически уязвимыми механизмами защиты конфиденциальности и гражданских свобод. Predator связывают с операторами более чем в десятке стран. Многочисленные случаи заражения зафиксированы среди представителей гражданского общества — активистов и журналистов, что прямо указывает на умышленное использование вредоносного ПО для подавления и слежки за оппонентами влас
Оглавление

Вредоносное ПО Predator mobile возвращается к активности и расширяет географию атак

Несмотря на санкции и широкий резонанс вокруг вредоносной программы Predator mobile, она не только продолжает функционировать, но и стремительно набирает обороты. По данным аналитиков Insikt Group, после временного спада, связанного с введёнными США санкциями против консорциума Intellexa, ответственного за разработку шпионского ПО, операторы Predator восстановили активность, расширив её на новые регионы, в частности, Мозамбик.

Рост активности в новых регионах

Примечательно, что существенная часть пострадавших находится в Африке, где более половины обнаруженных клиентов Predator. Это свидетельствует о продолжающемся распространении вредоносного ПО в странах с исторически уязвимыми механизмами защиты конфиденциальности и гражданских свобод.

Технические особенности Predator mobile

  • Разработано для платформ Android и iOS.
  • Обладает широкой функциональностью для скрытого наблюдения: полный доступ к микрофону, камере и конфиденциальным данным устройств.
  • Использует модульную архитектуру на базе Python, позволяющую операторам дистанционно обновлять и расширять функции ПО.
  • Методы доставки включают:Атаки «в один клик», требующие социальной инженерии и перехода жертвы по вредоносным ссылкам.
    Эксплойты «в 0 кликов», позволяющие автоматически заражать устройство без вовлечения пользователя. Хотя они менее сложны, чем, например, у Pegasus от NSO Group.

Злоупотребления и жертвы

Predator связывают с операторами более чем в десятке стран. Многочисленные случаи заражения зафиксированы среди представителей гражданского общества — активистов и журналистов, что прямо указывает на умышленное использование вредоносного ПО для подавления и слежки за оппонентами власти и независимыми медиа.

Инфраструктура и тактика маскировки

В ходе расследования Insikt Group обнаружила множество новых элементов инфраструктуры Predator, включая серверы уровня 1 и дополнительные компоненты, вероятно, связанные с известными операторами.

  • Инфраструктура регулярно меняется, чтобы избежать обнаружения.
  • Для маскировки используется широкий спектр номеров автономных систем (ASN).
  • Создаются поддельные веб-сайты, имитирующие легитимные местные службы.
  • Недавние домены перестали маскироваться под известные организации, используя случайные словосочетания, что указывает на эволюцию методов обфускации.

Риски и перспективы

Повышенная сложность и технологический прогресс в сфере шпионских программ создают серьёзные угрозы для конфиденциальности и правовых норм во многих странах, особенно с учётом истории нарушений гражданских свобод.

Insikt Group предупреждает, что рынок spyware-наёмников продолжит расти под влиянием спроса и технологических инноваций. Операторы подобных программ будут постоянно совершенствовать инструменты в ответ на усиление кибербезопасности и изменение законодательства.

Связи с корпоративными структурами и обход санкций

Особое внимание аналитиков привлекла связь инфраструктуры Predator с чешской компанией, ранее связанной с Intellexa. Комплексные корпоративные структуры могут использоваться для обхода санкций, что усложняет борьбу с распространением вредоносного ПО.

Расширение целевой аудитории и новые тактики

Вредоносное ПО Predator постепенно ориентируется на конкретные демографические группы, а используемые операторами методы ведения операций развиваются. В частности, растёт использование:

  • Облачных резервных копий для хранения и распространения вредоносного ПО.
  • Персонализированных фишинговых кампаний, увеличивающих эффективность социальной инженерии.

В результате растут риски для политических, корпоративных и социальных институтов, что требует повышенного внимания к вопросам информационной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Рост активности шпионского ПО Predator в Африке и мире".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.