Predator-spyware op uw telefoon detecteren
Cytrox, een vooraanstaand Macedonisch cybersecuritybedrijf, verwierf in 2021 bekendheid met de ontwikkeling en verspreiding van de Predator-spyware, gericht op iPhones. Deze geavanceerde spyware infiltreerde succesvol iOS 14.6, de nieuwste versie van het besturingssysteem destijds, door gebruik te maken van links die met één klik werden verspreid via het populaire berichtenplatform WhatsApp. Predator blijft actief na het opnieuw opstarten met behulp van de iOS-automatiseringsfunctie.
De Predator-spyware werd vermoedelijk gebruikt door overheidsinstanties, waaronder die van Armenië, Egypte, Griekenland, Indonesië, Madagaskar, Oman, Saoedi-Arabië en Servië. De doelwitten variëren van politieke oppositie en journalisten tot presentatoren van invloedrijke nieuwsprogramma's, wat wijst op een omvangrijke surveillanceoperatie. Het is echter vermeldenswaard dat het bedrijf momenteel onder verschillende namen in de Europese Unie opereert.
Zodra de Predator-loader is geactiveerd, start deze de download van Python-scripts naar je iPhone om de controle over het apparaat te verkrijgen. Na het laden van de Predator-configuratie verwijdert de iOS-loader vervolgens de crashlogs van het apparaat, waardoor alle bijbehorende bestanden worden verwijderd. Vervolgens worden een configuratiebestand en de daaropvolgende stadia van de spyware opgehaald van de aangewezen server.
Op iOS voert de Predator-loader een functie uit die verantwoordelijk is voor het downloaden van een iOS-snelkoppelingsautomatisering van de spywareserver, waardoor de persistentie ervan wordt gewaarborgd. Deze automatisering is ontworpen om te worden geactiveerd wanneer specifieke apps worden gestart, waaronder een reeks ingebouwde Apple-applicaties.
In totaal worden meer dan 44 apps nauwlettend in de gaten gehouden, waaronder de App Store, Camera, Mail, Maps en Safari, naast populaire apps van derden zoals Twitter, Instagram, Facebook, LinkedIn, Skype, SnapChat, Viber, TikTok, Line, OpenVPN, WhatsApp, Signal en Telegram.
De Predator-snelkoppeling werkt volledig op de achtergrond en blijft onzichtbaar voor de gebruiker. Deze onopvallendheid wordt bereikt doordat Predator een instelling aanpast om meldingen die door automatisering worden geactiveerd, uit te schakelen. Cytrox en zijn Predator-spyware zijn, in tegenstelling tot Pegasus , relatief onbekend.
Hoe Predator-spyware op iOS te detecteren
Om te controleren of de Predator-spyware op uw iPhone is geïnstalleerd, moet u eerst een back-up van uw apparaat maken. Vervolgens is het gebruik van een tool zoals MVT essentieel om de aanwezigheid van Cytrox-spyware op uw iDevice vast te stellen.
MVT maakt gebruik van verschillende indicatoren, zoals malware, relaties, gebundelde bestanden, domeinnamen en Apple ID's die uw apparaat in gevaar kunnen brengen. Daarnaast monitort MVT actieve processen om de installatie van Predator effectief te detecteren. MVT gebruikt de cytrox.stix2- indicator om Predator-spyware in uw iPhone-back-upbestand te identificeren en te detecteren.
Let op: Versleutelde iOS-back-ups bevatten extra interessante gegevens die niet beschikbaar zijn in hun ongecodeerde tegenhangers. Deze omvatten belangrijke gegevens zoals Safari-geschiedenis, Safari-status en andere relevante informatie, wat de forensische analyse verbetert.
Volg deze stappen om Predator-spyware op iOS te detecteren:
Stap 1. Installeer Mobile Verification Toolkit op uw desktop.
Stap 2. Verbind je iPhone met je computer via een USB-kabel.
Stap 3. Maak een (versleutelde) iPhone-back-up met iTunes of opdrachtregeltools.
Stap 4. Open uw favoriete terminaltoepassing.
Stap 5. Voer de volgende opdracht uit om de iOS-back-up te decoderen .
mvt-ios decrypt-backup -d $decrypted_backup_directory $backup_directoryStap 6. Voer het wachtwoord in voor de encryptie van het iOS-back-upbestand.
Stap 7. Werk de MVT-indicatoren bij naar de nieuwste versie.
mvt-ios download-iocsStap 8. Scan de iOS-back-up met MVT om te bepalen of er Predator-spyware is geïnstalleerd.
mvt-ios check-backup -o $mvt_output_directory $decrypted_backup_directoryStap 9. Bekijk de opdrachtregelprompt voor de detectiestatus van Predator-spyware.
Stap 10. Voor verdere analyse kunt u navigeren door de bestanden $mvt_output_directory.
