Predator kill switch
A Jamf Threat Labs kutatása szerint a Predator kémprogram iOS-es változatában eddig dokumentálatlan, rendkívül fejlett anti-analysis technikákat használ. A kémprogram nem csak a hagyományos biztonsági megoldások elkerülésére törekszik, hanem aktívan detektálja a kutatói környezetet, például az iOS Developer Mode bekapcsolása, jailbreak eszközök, biztonsági alkalmazások vagy hálózati lehallgató beállítások esetén specifikus hibakódokat generál, amelyek alapján a támadók tökéletesíthetik jövőbeli támadásaikat.
A Jamf kutatói egy teljes hibakód-rendszert dokumentáltak, amelyek a sikertelen telepítési kísérletek okát jelzik a C2 felé. Például a 304-es hibakód azt jelzi, hogy a céleszközön biztonsági vagy elemző eszközök futnak. A kémprogram ezen kívül leállítja a műveletet és törli a nyomokat, ha veszélyt érzékel, de a hibakódok segítségével a támadók tanulhatnak a sikertelen kísérletekből, és optimalizálhatják a jövőbeli támadásokat. Ez a rendszer mutatja, hogy a Predator nem csak egy egyszerű kémprogram, hanem adaptív, tanulóképes fenyegetés, amely aktívan kerüli a felfedezést és a kutatókat is célba veszi.
