Zero-day sebezhetőségek kihasználásával terjesztik a Predator kémprogramot Androidon

 

A Google Fenyegetettségelemző Csapata (TAG) állami támogatottságú hackerekhez köti azokat a 2021 augusztusa és októbere közötti támadási kampányokat, amelyek során a támadók öt – Google Chrome és Anroid OS – nulladik napi sérülékenység kihasználásával telepítenek Predator kémprogram implementációkat naprakész Androidos eszközökre.

A Cytrox kémprogramokat fejlesztő cég által készített Predator kémprogram terjesztéséhez összes öt zero-day sérülékenység (Chrome: CVE-2021-37973CVE-2021-37976CVE-2021-38000CVE-2021-38003; Android: CVE-2021-1048) került kihasználásra három kampány során is:

  • Kampány #1 – Chromeból átirányít SBrowserre (CVE-2021-38000)
  • Kampány #2 – Kilép a Chrome sandboxból (CVE-2021-37973, CVE-2021-37976)
  • Kampány #3 – Teljes Android zero-day kihasználási lánc (CVE-2021-38003, CVE-2021-1048).

 

Mindhárom kampányban URL rövidítő szolgáltatásokra hasonlító linkeket küldtek e-mailben az áldozatoknak, kattintás esetén pedig – mielőtt egy legitim weboldalra irányítaná a felhasználókat –  egy olyan weboldal került megnyitásra, ahonnan letöltődhetett a rosszindulatú program. Amennyiben a támadók linkje nem volt aktív, a felhasználót egy egyszerű, legitim oldalra irányította. Ezen kampányok során elsőként egy androidos banki trójai, az Android Alien települt a fertőzött eszközökre, majd a távoli hozzáférési funkció (RAT) segítségével, – a felhasználó tudta nélkül –  letöltésre került a Predator implementáció is.

Ezen technikát több olyan újságíró és Google felhasználó ellen is bevethették, akik állami támogatású hacker kollektívák célkeresztjébe kerülhettek. A TAG kutatói emellett azt is felfedezték, hogy az Orosz Föderáció Külföldi Hírszerző Szolgálatához (SRV) köthető hacker csoport a Safari zero-day sebezhetőségét kihasználva vette célba több nyugat-európai ország kormányzati képviselőjének iOS eszközét. A TAG több mint 30 olyan különböző „beszállítót” követ figyelemmel, akik állami támogatású hackereknek biztosít különböző rosszindulatú, vagy kémfunkciókkal bíró felügyeleti eszközöket.

(bleepingcomputer.com)