Spyware Predator wykorzystuje luki zero-day do atakowania urządzeń Android
Grupa „Threat Analysis” Google (w skrócie TAG) oskarżyła w czwartek północno macedońskiego programistę spyware nazywanego Cytrox, który opracowywał exploity na aż 5 luk zero-day. Cztery z nich dotyczyły Google Chrome, a jedna jądra systemu Android. Sam malware skierowany był właśnie do użytkowników urządzeń na Androidzie.
Podobno w tej kampanii exploity 0-day były używane razem z exploitami n-day, ponieważ programiści wykorzystali różnicę czasu między załataniem niektórych krytycznych błędów, ale nie oznaczeniem ich jako problemy z bezpieczeństwem, a momentem pełnego wdrożenia tych poprawek w całym ekosystemie Androida.
Cytrox, rzekomo spakował exploity w jeden malware i sprzedał je różnym wspieranym przez rząd podmiotom z Egiptu, Armenii, Grecji, Madagaskaru, Wybrzeża Kości Słoniowej, Serbii, Hiszpanii i Indonezji, którzy z kolei wykorzystali błędy jako broń w przynajmniej 3 różnych kampaniach.
Przypominamy też, że programista Cytrox znany jest jako twórca i producent oprogramowania szpiegującego Predator, które jest odpowiednikiem niesławnego Pegasus’a, z tym że działa na systemy iOS. Pisaliśmy o tym fakcie pod koniec ubiegłego roku. Ciekawym faktem jest to, że firma Meta ujawniła złośliwe działanie ponad 300 kont na Facebook’u i Instagramie’e, które zostały zbanowane właśnie za działalność na rzecz Predator’a. Wygląda na to, że teraz malware dostał spory upgrade i może atakować i szpiegować smartfony z Androidem wykorzystując właśnie zero-day’e opisane przez Google.
Lista pięciu wykorzystanych luk zero-day w Chrome i Androidzie znajduje się poniżej:
– CVE-2021-37973 — luka “Use-After-Free w portalach po API
– CVE-2021-37976 – Wyciek danych z rdzenia aplikacji Chrome
– CVE-2021-38000 — Niewystarczająca walidacja niezaufanych danych wejściowych w obiektach „Intents”
– CVE-2021-38003 – Niewłaściwa implementacja w V8
– CVE-2021-1048 – luka „Use-After-Free” w jądrze Androida
Według TAG, wszystkie trzy kampanie, o których mowa, rozpoczęły się od e-maila typu spear-phishing, który zawierał jednorazowe linki imitujące usługi skracania adresów URL, które po kliknięciu przekierowywały cele do nieuczciwej domeny. Ta następnie pobierała w tle exploity zanim przenosiła ofiarę do autentycznej strony.
„Kampanie były ograniczone — w każdym przypadku oceniamy, że liczba celów wynosiła dziesiątki użytkowników” – zauważyli Lecigne i Resell z TAG. „Jeśli link nie był już aktywny, użytkownik został przekierowany bezpośrednio do legalnej witryny”.
Badacze ocenili, że ostatecznym celem operacji była dystrybucja szkodliwego oprogramowania o nazwie Alien, które działa jako prekursor ładowania Predatora na zainfekowane urządzenia z Androidem.
To proste złośliwe oprogramowanie, które otrzymuje polecenia od Predatora za pośrednictwem mechanizmu komunikacji między procesami (IPC), zostało zaprojektowane do nagrywania dźwięku, dodawania certyfikatów CA i ukrywania złośliwych aplikacji.
Pierwsza z trzech kampanii miała miejsce w sierpniu 2021 r. Używała Google Chrome jako punktu wyjścia na urządzeniu Samsung Galaxy S21, aby zmusić przeglądarkę do załadowania innego adresu URL, bez konieczności interakcji użytkownika, wykorzystując CVE-2021- 38000.
Kolejne włamanie, które miało miejsce miesiąc później i zostało przeprowadzone na aktualnym Samsungu Galaxy S10. Obejmowało łańcuch exploitów wykorzystujący CVE-2021-37973 i CVE-2021-37976, aby uciec z piaskownicy Chrome, wykorzystując go do usunięcia drugiego exploita w celu eskalacji uprawnień i wdrożenia backdoora.
Trzecia kampania — pełny exploit 0-day na Androida — została wykryta w październiku 2021 r. na zaktualizowanym telefonie Samsung z ówczesną najnowszą wersją przeglądarki Chrome. Atakujący połączył dwie luki, CVE-2021-38003 i CVE-2021-1048, aby wydostać się z piaskownicy i naruszyć system poprzez wstrzyknięcie złośliwego kodu do uprzywilejowanych procesów.
Google TAG zwrócił uwagę, że chociaż CVE-2021-1048 został naprawiony w jądrze Linuksa we wrześniu 2020 r., to w zeszłym roku został przeniesiony na Androida, ponieważ poprawka nie została oznaczona jako problem bezpieczeństwa.
Na tym przykładzie widzimy, że atakujący aktywnie poszukują i czerpią zyski z takich powoli naprawianych luk w systemach. Zwalczanie szkodliwych praktyk komercyjnego przemysłu nadzoru będzie wymagało solidnego, kompleksowego podejścia, które obejmuje współpracę między zespołami ds. analizy zagrożeń, obrońcami sieci, badaczami akademickimi i platformami technologicznymi. Kluczowym aspektem jest określnie czy dana podatność jest krytyczna i musi zostać naprawiona niezwłocznie czy można poczekać z łatką kilka miesięcy lub całkowicie ją pominąć.
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje
