Grupa „Threat Analysis” Google (w skrócie TAG) oskarżyła w czwartek północno macedońskiego programistę spyware nazywanego Cytrox, który opracowywał exploity na aż 5 luk zero-day. Cztery z nich dotyczyły Google Chrome, a jedna jądra systemu Android. Sam malware skierowany był właśnie do użytkowników urządzeń na Androidzie.
Podobno w tej kampanii exploity 0-day były używane razem z exploitami n-day, ponieważ programiści wykorzystali różnicę czasu między załataniem niektórych krytycznych błędów, ale nie oznaczeniem ich jako problemy z bezpieczeństwem, a momentem pełnego wdrożenia tych poprawek w całym ekosystemie Androida.
Cytrox, rzekomo spakował exploity w jeden malware i sprzedał je różnym wspieranym przez rząd podmiotom z Egiptu, Armenii, Grecji, Madagaskaru, Wybrzeża Kości Słoniowej, Serbii, Hiszpanii i Indonezji, którzy z kolei wykorzystali błędy jako broń w przynajmniej 3 różnych kampaniach.
Przypominamy też, że programista Cytrox znany jest jako twórca i producent oprogramowania szpiegującego Predator, które jest odpowiednikiem niesławnego Pegasus’a, z tym że działa na systemy iOS. Pisaliśmy o tym fakcie pod koniec ubiegłego roku. Ciekawym faktem jest to, że firma Meta ujawniła złośliwe działanie ponad 300 kont na Facebook’u i Instagramie’e, które zostały zbanowane właśnie za działalność na rzecz Predator’a. Wygląda na to, że teraz malware dostał spory upgrade i może atakować i szpiegować smartfony z Androidem wykorzystując właśnie zero-day’e opisane przez Google.
Lista pięciu wykorzystanych luk zero-day w Chrome i Androidzie znajduje się poniżej:
– CVE-2021-37973 — luka “Use-After-Free w portalach po API
– CVE-2021-37976 – Wyciek danych z rdzenia aplikacji Chrome
– CVE-2021-38000 — Niewystarczająca walidacja niezaufanych danych wejściowych w obiektach „Intents”
– CVE-2021-38003 – Niewłaściwa implementacja w V8
– CVE-2021-1048 – luka „Use-After-Free” w jądrze Androida
Według TAG, wszystkie trzy kampanie, o których mowa, rozpoczęły się od e-maila typu spear-phishing, który zawierał jednorazowe linki imitujące usługi skracania adresów URL, które po kliknięciu przekierowywały cele do nieuczciwej domeny. Ta następnie pobierała w tle exploity zanim przenosiła ofiarę do autentycznej strony.
„Kampanie były ograniczone — w każdym przypadku oceniamy, że liczba celów wynosiła dziesiątki użytkowników” – zauważyli Lecigne i Resell z TAG. „Jeśli link nie był już aktywny, użytkownik został przekierowany bezpośrednio do legalnej witryny”.
Badacze ocenili, że ostatecznym celem operacji była dystrybucja szkodliwego oprogramowania o nazwie Alien, które działa jako prekursor ładowania Predatora na zainfekowane urządzenia z Androidem.
To proste złośliwe oprogramowanie, które otrzymuje polecenia od Predatora za pośrednictwem mechanizmu komunikacji między procesami (IPC), zostało zaprojektowane do nagrywania dźwięku, dodawania certyfikatów CA i ukrywania złośliwych aplikacji.
Pierwsza z trzech kampanii miała miejsce w sierpniu 2021 r. Używała Google Chrome jako punktu wyjścia na urządzeniu Samsung Galaxy S21, aby zmusić przeglądarkę do załadowania innego adresu URL, bez konieczności interakcji użytkownika, wykorzystując CVE-2021- 38000.
Kolejne włamanie, które miało miejsce miesiąc później i zostało przeprowadzone na aktualnym Samsungu Galaxy S10. Obejmowało łańcuch exploitów wykorzystujący CVE-2021-37973 i CVE-2021-37976, aby uciec z piaskownicy Chrome, wykorzystując go do usunięcia drugiego exploita w celu eskalacji uprawnień i wdrożenia backdoora.
Trzecia kampania — pełny exploit 0-day na Androida — została wykryta w październiku 2021 r. na zaktualizowanym telefonie Samsung z ówczesną najnowszą wersją przeglądarki Chrome. Atakujący połączył dwie luki, CVE-2021-38003 i CVE-2021-1048, aby wydostać się z piaskownicy i naruszyć system poprzez wstrzyknięcie złośliwego kodu do uprzywilejowanych procesów.
Google TAG zwrócił uwagę, że chociaż CVE-2021-1048 został naprawiony w jądrze Linuksa we wrześniu 2020 r., to w zeszłym roku został przeniesiony na Androida, ponieważ poprawka nie została oznaczona jako problem bezpieczeństwa.
Na tym przykładzie widzimy, że atakujący aktywnie poszukują i czerpią zyski z takich powoli naprawianych luk w systemach. Zwalczanie szkodliwych praktyk komercyjnego przemysłu nadzoru będzie wymagało solidnego, kompleksowego podejścia, które obejmuje współpracę między zespołami ds. analizy zagrożeń, obrońcami sieci, badaczami akademickimi i platformami technologicznymi. Kluczowym aspektem jest określnie czy dana podatność jest krytyczna i musi zostać naprawiona niezwłocznie czy można poczekać z łatką kilka miesięcy lub całkowicie ją pominąć.
Wybrany post: Spyware Predator wykorzystuje luki zero-day do atakowania urządzeń Android
