Segundo o Threat Analysis Group (TAG) do Google, o spyware Predator infectou dispositivos Android usando falhas zero-day.
O Threat Analysis Group (TAG) do Google diz que os agentes de ameaças apoiados pelo estado usaram cinco vulnerabilidades de zero-days para instalar o spyware Predator desenvolvido pelo desenvolvedor de vigilância comercial Cytrox.
Spyware Predator infectou dispositivos Android usando falhas zero-day
Sim. O Spyware Predator infectou dispositivos Android usando falhas zero-day. Nesses ataques, parte de três campanhas iniciadas entre agosto e outubro de 2021, os invasores usaram explorações de dia zero direcionadas ao Chrome e ao sistema operacional Android para instalar implantes de spyware Predator em dispositivos Android totalmente atualizados.
Clement Lecigne e Christian Resell, membros do Google TAG, disseram que:
“Avaliamos com alta confiança que essas explorações foram empacotadas por uma única empresa de vigilância comercial, a Cytrox, e vendidas para diferentes atores apoiados pelo governo que as usaram em pelo menos três campanhas discutidas abaixo.”
Os agentes maliciosos apoiados pelo governo que compraram e usaram essas explorações para infectar alvos do Android com spyware são do Egito, Armênia, Grécia, Madagascar, Costa do Marfim, Sérvia, Espanha e Indonésia, de acordo com a análise do Google.
Essas descobertas estão alinhadas com um relatório sobre o spyware mercenário Cytrox publicado pelo CitizenLab em dezembro de 2021, quando seus pesquisadores descobriram a ferramenta maliciosa no telefone do político egípcio exilado Ayman Nour.
O telefone de Nour também foi infectado com o spyware Pegasus do NSO Group, com as duas ferramentas sendo operadas por dois clientes governamentais diferentes, de acordo com a avaliação do CitizenLab.
Zero-days explorados em três campanhas direcionadas a usuários do Android
As cinco vulnerabilidades de segurança de dia 0 anteriormente desconhecidas usadas nessas campanhas incluem:
- CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 no Chrome
- CVE-2021-1048 no Android
Os agentes de ameaças implantaram explorações visando esses dias zero em três campanhas separadas:
- Campanha nº 1 – redirecionando para o SBrowser do Chrome (CVE-2021-38000)
- Campanha nº 2 – Escape da sandbox do Chrome (CVE-2021-37973, CVE-2021-37976)
- Campanha nº 3 – Cadeia completa de exploração de 0 dia do Android (CVE-2021-38003, CVE-2021-1048)
“Todas as três campanhas entregaram links únicos que imitam serviços de encurtamento de URL para os usuários do Android direcionados por e-mail. As campanhas foram limitadas – em cada caso, avaliamos que o número de alvos estava na casa das dezenas de usuários”, acrescentaram os analistas do Google TAG.
“Uma vez clicado, o link redirecionava o alvo para um domínio de propriedade do invasor que entregava as explorações antes de redirecionar o navegador para um site legítimo. Se o link não estava ativo, o usuário era redirecionado diretamente para um site legítimo.”
Essa técnica de ataque também foi usada contra jornalistas e outros usuários do Google que foram alertados de que eram alvo de ataques apoiados por governos.
More TAG research from @_clem1 & @0xbadcafe1
Campaigns targeting Android users with five 0-day vulnerabilities. We assess the exploits were packaged by a single commercial surveillance company, Cytrox, and sold to different govt-backed actors.https://t.co/wRKpCuIB8c
— Shane Huntley (@ShaneHuntley) May 19, 2022
Nessas campanhas, os invasores instalaram primeiro o trojan bancário Android Alien com funcionalidade RAT usada para carregar o implante Predator Android, permitindo gravar áudio, adicionar certificados de CA e ocultar aplicativos.
Este relatório é uma continuação de uma análise de julho de 2021 de quatro outras falhas de 0 dias descobertas em 2021 no Chrome, Internet Explorer e WebKit (Safari).
Como os pesquisadores do Google TAG revelaram, hackers do governo apoiados pela Rússia ligados ao Serviço de Inteligência Estrangeira da Rússia (SVR) exploraram o dia zero do Safari para atingir dispositivos iOS pertencentes a funcionários do governo de países da Europa Ocidental.
“A TAG está rastreando ativamente mais de 30 fornecedores com níveis variados de sofisticação e exposição pública, vendendo explorações ou recursos de vigilância para atores apoiados pelo governo”, acrescentou o Google TAG na quinta-feira.