O governo sérvio explorou vulnerabilidades zero-day da Qualcomm para desbloquear e infectar dispositivos Android com um novo spyware chamado 'NoviSpy', utilizado para espionar ativistas, jornalistas e manifestantes.
Uma das falhas da Qualcomm ligadas aos ataques é a
CVE-2024-43047
, que foi marcada como uma vulnerabilidade zero-day ativamente explorada pelo Google Project Zero em outubro de 2024 e recebeu uma correção no Android em novembro.
O spyware, que aparentemente foi implantado pelas autoridades sérvias, com base em suas comunicações, foi descoberto pelo Security Lab da Amnesty International no telefone de um jornalista após a polícia devolvê-lo.
"Em fevereiro de 2024, Slaviša Milanov, um jornalista independente de Dimitrovgrad na Sérvia, que cobre notícias de interesse local, foi levado a uma delegacia após uma parada de trânsito aparentemente rotineira", lê-se em um relatório da Amnesty International.
Após ser liberado, Slaviša notou que seu telefone, que ele havia deixado na recepção da delegacia a pedido dos oficiais, estava se comportando de maneira estranha - os ajustes de dados e wi-fi estavam desativados.
Ciente de que isso pode ser um sinal de hacking, e atento às ameaças de vigilância enfrentadas por jornalistas na Sérvia, Slaviša contatou o Security Lab da Amnesty International para solicitar uma análise de seu telefone.
Posteriormente, os pesquisadores forneceram ao Google's Threat Analysis Group (TAG) artefatos de exploração, levando à descoberta de falhas no driver DSP (Digital Signal Processor) da Qualcomm ('adsprpc'), que é usado para transferir o processamento multimídia para o núcleo DSP.
Enquanto o Google não tem certeza de quais vulnerabilidades são exploradas pelo NoviSpy, as evidências sugerem que o spyware emprega uma cadeia de exploração para burlar os mecanismos de segurança do Android e se instalar persistentemente no nível do kernel.
A Amnesty International relata que o NoviSpy foi implantado pela Agência de Informação de Segurança da Sérvia (BIA) e pela polícia sérvia após um telefone ser desbloqueado usando as ferramentas de desbloqueio da Cellebrite durante a custódia física dos dispositivos.
De acordo com evidências forenses em dispositivos adulterados, os pesquisadores acreditam que a Cellebrite explorou vulnerabilidades zero-day da Qualcomm para desbloquear telefones Android.
"Enquanto conduzia pesquisas para este relatório, o Security Lab também descobriu evidências forenses que levaram à identificação de uma vulnerabilidade zero-day de escalada de privilégio no Android usada para escalar privilégios no dispositivo de um ativista da Sérvia", lê-se no relatório da Amnesty International.
A vulnerabilidade, identificada em colaboração com pesquisadores de segurança da Androidmaker Google, afetou diversos dispositivos Android usando chipsets Qualcomm populares, impactando milhões de dispositivos Android em todo o mundo.
O spyware se comunicava com servidores em faixas de IP diretamente vinculadas à BIA, enquanto dados de configuração nas amostras identificavam uma pessoa específica ligada aos programas anteriores de compras de spyware do país.
Os alvos incluem jornalistas, ativistas dos direitos humanos e dissidentes do governo.
Exemplos específicos mencionados no relatório da Amnesty incluem o jornalista Slaviša Milanov, um membro da ONG Krokodil e três ativistas.
No entanto, a Amnesty diz que evidências técnicas sugerem que o NoviSpy foi instalado em dezenas, se não centenas, de dispositivos Android na Sérvia nos últimos anos.
Sobre o comprometimento inicial, a Amnesty International diz que os artefatos recuperados apontam para um ataque zero-click explorando recursos de chamada do Android, como a funcionalidade Voice-over-Wifi ou Voice-over-LTE (VoLTE).
Estes estavam ativos nos dispositivos comprometidos examinados, usados como parte do Rich Communication Suite (RCS) calling.
A Amnesty International suspeita que alguns ativistas podem ter sido alvo usando uma vulnerabilidade zero-click no Android que poderia ser explorada recebendo chamadas telefônicas de números de telefone inválidos com muitos dígitos, conforme mostrado abaixo.
O Google's TAG recebeu logs de kernel panic gerados por explorações capturadas pela Amnesty International e trabalhou de forma reversa para identificar seis vulnerabilidades no driver adsprpc da Qualcomm, usado em milhões de dispositivos Android.
As seis falhas são resumidas da seguinte forma:
-
CVE-2024-38402
: Um problema de contagem de referência no driver pode levar à exploração de use-after-free (UAF) e execução de código arbitrário no espaço do kernel.
-
CVE-2024-21455
: Um tratamento incorreto da flag 'is_compat' permite que ponteiros controlados pelo usuário sejam tratados como ponteiros do kernel, criando primitivas de leitura/escrita arbitrária e levando à escalada de privilégios.
-
CVE-2024-33060
: Uma condição de corrida em 'fastrpc_mmap_create' expõe o driver a vulnerabilidades UAF, especialmente ao lidar com mapeamentos de memória globais, levando à corrupção de memória do kernel.
- CVE-2024-49848: Um erro lógico no tratamento de mapeamentos persistentes causa um cenário UAF quando referências a mapeamentos são liberadas inadequadamente, proporcionando um mecanismo de persistência.
-
CVE-2024-43047
: Mapeamentos de memória sobrepostos em 'fastrpc_mmap' podem levar a referências de objeto corrompidas, potencialmente levando à corrupção de memória.
Sem CVE: Validação inadequada em fastrpc_mmap_find vaza informações do espaço de endereço do kernel, permitindo burlar a randomização do layout do espaço de endereço do kernel (KASLR).
Pesquisadores do Google confirmaram a exploração do
CVE-2024-43047
e supõem que o restante foi explorado em uma cadeia de ataque complexa.
No momento da redação, a Qualcomm não lançou uma correção para o CVE-2024-49848, apesar de o Google ter reportado o problema a eles 145 dias atrás.
O Google também observou que a Qualcomm atrasou a correção do CVE-2024-49848 e do
CVE-2024-21455
além do período padrão da indústria de 90 dias.
Um porta-voz forneceu a seguinte declaração:
"Desenvolver tecnologias que se esforcem para suportar segurança e privacidade robustas é uma prioridade para a Qualcomm Technologies", disse a Qualcomm.
Nós elogiamos os pesquisadores do Google Project Zero e do Amnesty International Security Lab por usarem práticas de divulgação coordenadas.
Em relação à pesquisa de seu driver FastRPC, correções foram disponibilizadas aos nossos clientes a partir de setembro de 2024.
Incentivamos os usuários finais a aplicar atualizações de segurança assim que estiverem disponíveis pelos fabricantes de dispositivos.
Sobre o CVE-2024-49848, a Qualcomm informou que uma correção foi desenvolvida e está passando pelo seu processo de divulgação, com o boletim de segurança relacionado vindo em janeiro de 2025.
Sobre a vulnerabilidade que não possui um identificador CVE, a Qualcomm diz que o problema foi agrupado com a correção do
CVE-2024-33060
em setembro de 2024 e, portanto, foi corrigido.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...