A Google Fenyegetettségelemző Csapata (TAG) állami támogatottságú hackerekhez köti azokat a 2021 augusztusa és októbere közötti támadási kampányokat, amelyek során a támadók öt – Google Chrome és Anroid OS – nulladik napi sérülékenység kihasználásával telepítenek Predator kémprogram implementációkat naprakész Androidos eszközökre.
A Cytrox kémprogramokat fejlesztő cég által készített Predator kémprogram terjesztéséhez összes öt zero-day sérülékenység (Chrome: CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003; Android: CVE-2021-1048) került kihasználásra három kampány során is:
- Kampány #1 – Chromeból átirányít SBrowserre (CVE-2021-38000)
- Kampány #2 – Kilép a Chrome sandboxból (CVE-2021-37973, CVE-2021-37976)
- Kampány #3 – Teljes Android zero-day kihasználási lánc (CVE-2021-38003, CVE-2021-1048).
Mindhárom kampányban URL rövidítő szolgáltatásokra hasonlító linkeket küldtek e-mailben az áldozatoknak, kattintás esetén pedig – mielőtt egy legitim weboldalra irányítaná a felhasználókat – egy olyan weboldal került megnyitásra, ahonnan letöltődhetett a rosszindulatú program. Amennyiben a támadók linkje nem volt aktív, a felhasználót egy egyszerű, legitim oldalra irányította. Ezen kampányok során elsőként egy androidos banki trójai, az Android Alien települt a fertőzött eszközökre, majd a távoli hozzáférési funkció (RAT) segítségével, – a felhasználó tudta nélkül – letöltésre került a Predator implementáció is.
Ezen technikát több olyan újságíró és Google felhasználó ellen is bevethették, akik állami támogatású hacker kollektívák célkeresztjébe kerülhettek. A TAG kutatói emellett azt is felfedezték, hogy az Orosz Föderáció Külföldi Hírszerző Szolgálatához (SRV) köthető hacker csoport a Safari zero-day sebezhetőségét kihasználva vette célba több nyugat-európai ország kormányzati képviselőjének iOS eszközét. A TAG több mint 30 olyan különböző „beszállítót” követ figyelemmel, akik állami támogatású hackereknek biztosít különböző rosszindulatú, vagy kémfunkciókkal bíró felügyeleti eszközöket.
