Ce logiciel malveillant créé par un ancien officier israélien spécialisé dans le cyber espionnage est vendu par Cytrox, une entreprise basée en Macédoine du Nord. Ce Predator semble prendre petit à petit la place du célèbre Pegasus, devenu un peu trop connu pour un dispositif censé rester discret.
Predator permet au parrain de l’attaque de pendre le contrôle complet du mobile à l’insu de son propriétaire. Le système espion peut lire tout le contenu de la mémoire (contacts, messages, photos…) et activer le micro et les caméras à distance. Le système utilise de faux comptes sur les réseaux sociaux et la copie de sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé amenant à l’installation de ce dispositif malveillant.
Des chercheurs ont réussi à examiner deux versions de Predator, une pour iOS, le système d’exploitation des appareils mobiles d’Apple, et une autre pour les téléphones Android. Le rapport ne liste pas explicitement les actions possibles sur un téléphone pour un attaquant utilisant Predator, mais ces logiciels espions, comme Pegasus, sont conçus pour s’installer dans les appareils et obtenir l’autorisation d’activer le micro, la caméra, de lire les messages et d’enregistrer l’activité d’autres applications. De plus, le Citizen Lab n’a pas pu analyser les vecteurs d’infection utilisés par Predator pour contourner les sécurités d’ iOS et Android et s’installer sur les téléphones. Cependant, une piste potentielle est que les deux victimes ont reçu, lors de la phase d’approche, des messages contenant des liens vers des noms de domaine appartenant à l’infrastructure de Cytrox.
Certains pays qui utilisaient la solution Pegasus, utilisent désormais Predator pour espionner l’adversaire.
De manière intéressante, les chercheurs ont mis en évidence, sur la version iOS du logiciel, un mécanisme de persistance. C’est-à-dire un outil qui assure la présence continue du mouchard dans l’appareil, même après que celui-ci a été éteint et rallumé. Une telle fonctionnalité n’a pas été identifiée sur la version Android de Predator.
Predator, il repose sur deux composants : Tcore, la boîte à outils de l’espion parfait, et Kmem. Le premier comprend un enregistreur audio, la collecte d’informations à partir de Signal, WhatsApp et Telegram, ainsi que d’autres applications. Le second offre un accès arbitraire en lecture et en écriture à l’espace d’adressage du noyau. Cet accès est offert par Alien qui exploite la CVE-2021-1048, permettant au logiciel espion d’exécuter la plupart de ses fonctions.
Êtes-vous piégé ? International ICS analyse votre mobile pour vous.