O Grupo de Análise de Ameaças (TAG) do Google descobriu várias cadeias de exploração usando vulnerabilidades zero-day e n-day do Android, iOS e Chrome para instalar spyware comercial e aplicativos maliciosos nos dispositivos.
Os atacantes visaram usuários de iOS e Android com cadeias de exploração separadas como parte de uma primeira campanha detectada em novembro de 2022.
Eles usaram mensagens de texto com links encurtados bitly para redirecionar as vítimas para sites legítimos de remessa da Itália, Malásia e Cazaquistão, após primeiro enviá-las para páginas que desencadeiam explorações abusando de um zero-day de execução remota de código do WebKit do iOS (
CVE-2022-42856
) e um bug de escape da sandbox (
CVE-2021-30900
).
Em dispositivos iOS comprometidos, os atores da ameaça deixaram um payload permitindo que eles rastreassem a localização das vítimas e instalassem arquivos .IPA.
Como parte da mesma campanha, uma cadeia de exploração do Android também foi usada para atacar dispositivos com GPUs ARM com uma bypass zero-day da sandbox do GPU do Chrome (
CVE-2022-4135
), um bug de escalonamento de privilégios ARM (
CVE-2022-38181
) e um bug de confusão de tipo do Chrome (
CVE-2022-3723
) com um payload desconhecido.
"Quando a ARM lançou uma correção para a
CVE-2022-38181
, vários fornecedores, incluindo Pixel, Samsung, Xiaomi, Oppo e outros, não incorporaram o patch, resultando em uma situação em que os atacantes foram capazes de explorar livremente o bug por vários meses", disse Clément Lecigne do Google TAG.
Uma segunda campanha foi detectada em dezembro de 2022, após pesquisadores do Google TAG encontrarem uma cadeia de exploração visando versões atualizadas do navegador Samsung Internet usando múltiplos zero-days e n-days.
Alvos dos Emirados Árabes Unidos (EAU) foram redirecionados para páginas de exploração idênticas às criadas pelo fornecedor de spyware mercenário Variston para seu framework de exploração Heliconia e visando uma longa lista de falhas, incluindo: No final, a cadeia de exploração implantou com sucesso uma suíte de spyware baseada em C++ para Android, completa com bibliotecas projetadas para descriptografar e extrair dados de inúmeros aplicativos de bate-papo e navegador.
Ambas as campanhas foram altamente direcionadas e os atacantes "aproveitaram o grande intervalo de tempo entre o lançamento da correção e quando ela foi totalmente implantada em dispositivos de usuários finais", disse Lecigne.
"Essas campanhas também podem indicar que exploits e técnicas estão sendo compartilhados entre fornecedores de vigilância, permitindo a proliferação de ferramentas de hacking perigosas".
A descoberta dessas cadeias de exploração foi motivada por descobertas compartilhadas pelo Laboratório de Segurança da Anistia Internacional, que também publicou informações sobre domínios e infraestrutura usados nos ataques.
"A nova campanha de spyware foi ativa desde pelo menos 2020 e visou dispositivos móveis e de desktop, incluindo usuários do sistema operacional Android do Google", acrescentou a Anistia Internacional em um relatório separado hoje.
"O spyware e as explorações zero-day foram entregues de uma extensa rede de mais de 1000 domínios maliciosos, incluindo domínios falsificados de sites de mídia em vários países".
Isso faz parte de um esforço contínuo para monitorar o mercado de spyware mercenário e rastrear as vulnerabilidades zero-day que eles estão explorando para instalar suas ferramentas nos dispositivos vulneráveis de ativistas de direitos humanos e políticos, jornalistas, políticos e outros usuários de alto risco em todo o mundo.
O Google disse em maio de 2022 que estava rastreando ativamente mais de 30 fornecedores com níveis variáveis de exposição pública e sofisticação conhecidos por vender capacidades de vigilância ou explorações para atores de ameaças patrocinados pelo governo em todo o mundo.
Em novembro de 2022, pesquisadores do Google TAG revelaram que haviam vinculado um framework de exploração conhecido como Heliconia e visando vulnerabilidades do Chrome, Firefox e Microsoft Defender à empresa de software espanhola Variston IT.
Em junho de 2022, alguns provedores de serviços de Internet (ISPs) ajudaram o fornecedor de spyware italiano RCS Labs a infectar os dispositivos de usuários de Android e iOS na Itália e Cazaquistão com ferramentas de vigilância comercial, de acordo com o Google.
Um mês antes, outra campanha de vigilância foi trazida à tona pelo Google TAG, onde atacantes patrocinados pelo estado exploraram cinco zero-days para instalar o spyware Predator desenvolvido pela Cytrox.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...