Spyware Predator infectou dispositivos Android usando falhas zero-day

Segundo o Threat Analysis Group (TAG) do Google, o spyware Predator infectou dispositivos Android usando falhas zero-day.

O Threat Analysis Group (TAG) do Google diz que os agentes de ameaças apoiados pelo estado usaram cinco vulnerabilidades de zero-days para instalar o spyware Predator desenvolvido pelo desenvolvedor de vigilância comercial Cytrox.

Spyware Predator infectou dispositivos Android usando falhas zero-day

Spyware Predator infectou dispositivos Android usando falhas zero-day
Spyware Predator infectou dispositivos Android usando falhas zero-day

Sim. O Spyware Predator infectou dispositivos Android usando falhas zero-day. Nesses ataques, parte de três campanhas iniciadas entre agosto e outubro de 2021, os invasores usaram explorações de dia zero direcionadas ao Chrome e ao sistema operacional Android para instalar implantes de spyware Predator em dispositivos Android totalmente atualizados.

Clement Lecigne e Christian Resell, membros do Google TAG, disseram que:

“Avaliamos com alta confiança que essas explorações foram empacotadas por uma única empresa de vigilância comercial, a Cytrox, e vendidas para diferentes atores apoiados pelo governo que as usaram em pelo menos três campanhas discutidas abaixo.”

Os agentes maliciosos apoiados pelo governo que compraram e usaram essas explorações para infectar alvos do Android com spyware são do Egito, Armênia, Grécia, Madagascar, Costa do Marfim, Sérvia, Espanha e Indonésia, de acordo com a análise do Google.

Essas descobertas estão alinhadas com um relatório sobre o spyware mercenário Cytrox publicado pelo CitizenLab em dezembro de 2021, quando seus pesquisadores descobriram a ferramenta maliciosa no telefone do político egípcio exilado Ayman Nour.

O telefone de Nour também foi infectado com o spyware Pegasus do NSO Group, com as duas ferramentas sendo operadas por dois clientes governamentais diferentes, de acordo com a avaliação do CitizenLab.

Zero-days explorados em três campanhas direcionadas a usuários do Android
As cinco vulnerabilidades de segurança de dia 0 anteriormente desconhecidas usadas nessas campanhas incluem:

Os agentes de ameaças implantaram explorações visando esses dias zero em três campanhas separadas:

  • Campanha nº 1 – redirecionando para o SBrowser do Chrome (CVE-2021-38000)
  • Campanha nº 2 – Escape da sandbox do Chrome (CVE-2021-37973, CVE-2021-37976)
  • Campanha nº 3 – Cadeia completa de exploração de 0 dia do Android (CVE-2021-38003, CVE-2021-1048)

“Todas as três campanhas entregaram links únicos que imitam serviços de encurtamento de URL para os usuários do Android direcionados por e-mail. As campanhas foram limitadas – em cada caso, avaliamos que o número de alvos estava na casa das dezenas de usuários”, acrescentaram os analistas do Google TAG.

“Uma vez clicado, o link redirecionava o alvo para um domínio de propriedade do invasor que entregava as explorações antes de redirecionar o navegador para um site legítimo. Se o link não estava ativo, o usuário era redirecionado diretamente para um site legítimo.”

Essa técnica de ataque também foi usada contra jornalistas e outros usuários do Google que foram alertados de que eram alvo de ataques apoiados por governos.


Nessas campanhas, os invasores instalaram primeiro o trojan bancário Android Alien com funcionalidade RAT usada para carregar o implante Predator Android, permitindo gravar áudio, adicionar certificados de CA e ocultar aplicativos.

Este relatório é uma continuação de uma análise de julho de 2021 de quatro outras falhas de 0 dias descobertas em 2021 no Chrome, Internet Explorer e WebKit (Safari).

Como os pesquisadores do Google TAG revelaram, hackers do governo apoiados pela Rússia ligados ao Serviço de Inteligência Estrangeira da Rússia (SVR) exploraram o dia zero do Safari para atingir dispositivos iOS pertencentes a funcionários do governo de países da Europa Ocidental.

“A TAG está rastreando ativamente mais de 30 fornecedores com níveis variados de sofisticação e exposição pública, vendendo explorações ou recursos de vigilância para atores apoiados pelo governo”, acrescentou o Google TAG na quinta-feira.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.