Spyware Predator da Cytrox direcionado a usuários do Android com exploits de Zero-Day
O Grupo de Análise de Ameaças do Google (TAG) apontou na quinta-feira o dedo para um desenvolvedor de spyware da Macedônia do Norte chamado Cytrox por desenvolver explorações contra cinco falhas de dia zero (também conhecidas como Zero-Day), quatro no Chrome e uma no Android, para atingir usuários do Android.
“Os exploits de Zero-Day foram usados juntamente com os exploits de n-day, pois os desenvolvedores aproveitaram a diferença de tempo entre quando alguns bugs críticos foram corrigidos, mas não sinalizados como problemas de segurança, e quando esses patches foram totalmente implantados no ecossistema Android”, informaram os pesquisadores da TAG Clement Lecigne e Christian Resell .
A Cytrox supostamente empacotou as façanhas e as vendeu para diferentes atores apoiados pelo governo localizados no Egito, Armênia, Grécia, Madagascar, Costa do Marfim, Sérvia, Espanha e Indonésia, que, por sua vez, armaram os bugs em pelo menos três campanhas diferentes.
A empresa de vigilância comercial é a fabricante do Predator , um implante análogo ao Pegasus do NSO Group , e é conhecida por ter desenvolvido ferramentas que permitem que seus clientes penetrem em dispositivos iOS e Android.
Em dezembro de 2021, a Meta Platforms (anteriormente Facebook) divulgou que havia agido para remover cerca de 300 contas no Facebook e Instagram que a empresa usava como parte de suas campanhas de comprometimento.
A lista das cinco falhas de Zero-Day exploradas no Chrome e no Android listadas abaixo :
- CVE-2021-37973 – Use-after-free na API de portais
- CVE-2021-37976 – Vazamento de informações no núcleo
- CVE-2021-38000 – Validação insuficiente de entrada não confiável em Intents ( análise de causa raiz )
- CVE-2021-38003 – Implementação inadequada na V8
- CVE-2021-1048 – Use-after-free no kernel do Android ( análise de causa raiz )
De acordo com a TAG, todas as três campanhas em questão começaram com um e-mail de spear phishing que continha links únicos que imitavam serviços de encurtador de URL que, uma vez clicados, redirecionavam os alvos para um domínio não autorizado que descartava as explorações antes de levar a vítima para um site legítimo. local.
“As campanhas eram limitadas em cada caso, avaliamos que o número de alvos estava na casa das dezenas de usuários”, conforme observação de Lecigne e Resell. “Se o link não estava ativo, o usuário era redirecionado diretamente para um site legítimo.”
O objetivo final da operação, avaliaram os pesquisadores, era distribuir um malware chamado Alien, que atua como um precursor para carregar o Predator em dispositivos Android infectados.
O malware “simples”, que recebe comandos do Predator por meio de um mecanismo de comunicação entre processos (IPC), foi projetado para gravar áudio, adicionar certificados de CA e ocultar aplicativos para evitar a detecção.
A primeira das três campanhas ocorreu em agosto de 2021. Ele usou o Google Chrome como ponto de partida em um dispositivo Samsung Galaxy S21 para forçar o navegador a carregar outro URL no navegador de Internet Samsung sem exigir interação do usuário, explorando o CVE-2021- 38.000.
Outra intrusão, que ocorreu um mês depois e foi entregue a um Samsung Galaxy S10 atualizado, envolveu uma cadeia de exploração usando CVE-2021-37973 e CVE-2021-37976 para escapar da sandbox do Chrome (não confundir com Privacy Sandbox ), aproveitando-o para descartar um segundo exploit para escalar privilégios e implantar o backdoor.
A terceira campanha – uma exploração completa de Zero-Day do Android foi detectada em outubro de 2021 em um telefone Samsung atualizado executando a versão mais recente do Chrome. Ele juntou duas falhas, CVE-2021-38003 e CVE-2021-1048, para escapar da sandbox e comprometer o sistema injetando código malicioso em processos privilegiados.
O Google TAG apontou que, embora o CVE-2021-1048 tenha sido corrigido no kernel Linux em setembro de 2020, ele não foi retroportado para o Android até o ano passado, pois a correção não foi marcada como um problema de segurança.
“Os invasores estão procurando ativamente e lucrando com essas vulnerabilidades corrigidas lentamente”, informaram os pesquisadores.
“Enfrentar as práticas prejudiciais do setor de vigilância comercial exigirá uma abordagem robusta e abrangente que inclua a cooperação entre equipes de inteligência de ameaças, defensores de rede, pesquisadores acadêmicos e plataformas de tecnologia”.
Este artigo é uma tradução de: https://thehackernews.com/2022/05/cytroxs-predator-spyware-target-android.html (Autor: )
