Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Spyware Predator wykorzystuje luki zero-day do atakowania urządzeń Android

Kapitan Hack / Cybernews / Spyware Predator wykorzystuje luki zero-day do atakowania urządzeń Android

Grupa „Threat Analysis” Google (w skrócie TAG) oskarżyła w czwartek północno macedońskiego programistę spyware nazywanego Cytrox, który opracowywał exploity na aż 5 luk zero-day. Cztery z nich dotyczyły Google Chrome, a jedna jądra systemu Android. Sam malware skierowany był właśnie do użytkowników urządzeń na Androidzie.
Podobno w tej kampanii exploity 0-day były używane razem z exploitami n-day, ponieważ programiści wykorzystali różnicę czasu między załataniem niektórych krytycznych błędów, ale nie oznaczeniem ich jako problemy z bezpieczeństwem, a momentem pełnego wdrożenia tych poprawek w całym ekosystemie Androida.

Cytrox, rzekomo spakował exploity w jeden malware i sprzedał je różnym wspieranym przez rząd podmiotom z Egiptu, Armenii, Grecji, Madagaskaru, Wybrzeża Kości Słoniowej, Serbii, Hiszpanii i Indonezji, którzy z kolei wykorzystali błędy jako broń w przynajmniej 3 różnych kampaniach.

Przypominamy też, że programista Cytrox znany jest jako twórca i producent oprogramowania szpiegującego Predator, które jest odpowiednikiem niesławnego Pegasus’a, z tym że działa na systemy iOS. Pisaliśmy o tym fakcie pod koniec ubiegłego roku. Ciekawym faktem jest to, że firma Meta ujawniła złośliwe działanie ponad 300 kont na Facebook’u i Instagramie’e, które zostały zbanowane właśnie za działalność na rzecz Predator’a. Wygląda na to, że teraz malware dostał spory upgrade i może atakować i szpiegować smartfony z Androidem wykorzystując właśnie zero-day’e opisane przez Google.

Lista pięciu wykorzystanych luk zero-day w Chrome i Androidzie znajduje się poniżej:

CVE-2021-37973 — luka “Use-After-Free w portalach po API
CVE-2021-37976 – Wyciek danych z rdzenia aplikacji Chrome
CVE-2021-38000 — Niewystarczająca walidacja niezaufanych danych wejściowych w obiektach „Intents”
CVE-2021-38003 – Niewłaściwa implementacja w V8
CVE-2021-1048 – luka „Use-After-Free” w jądrze Androida

Według TAG, wszystkie trzy kampanie, o których mowa, rozpoczęły się od e-maila typu spear-phishing, który zawierał jednorazowe linki imitujące usługi skracania adresów URL, które po kliknięciu przekierowywały cele do nieuczciwej domeny. Ta następnie pobierała w tle exploity zanim przenosiła ofiarę do autentycznej strony.
„Kampanie były ograniczone — w każdym przypadku oceniamy, że liczba celów wynosiła dziesiątki użytkowników” – zauważyli Lecigne i Resell z TAG. „Jeśli link nie był już aktywny, użytkownik został przekierowany bezpośrednio do legalnej witryny”.

Badacze ocenili, że ostatecznym celem operacji była dystrybucja szkodliwego oprogramowania o nazwie Alien, które działa jako prekursor ładowania Predatora na zainfekowane urządzenia z Androidem. To proste złośliwe oprogramowanie, które otrzymuje polecenia od Predatora za pośrednictwem mechanizmu komunikacji między procesami (IPC), zostało zaprojektowane do nagrywania dźwięku, dodawania certyfikatów CA i ukrywania złośliwych aplikacji.

Pierwsza z trzech kampanii miała miejsce w sierpniu 2021 r. Używała Google Chrome jako punktu wyjścia na urządzeniu Samsung Galaxy S21, aby zmusić przeglądarkę do załadowania innego adresu URL, bez konieczności interakcji użytkownika, wykorzystując CVE-2021- 38000.

Kolejne włamanie, które miało miejsce miesiąc później i zostało przeprowadzone na aktualnym Samsungu Galaxy S10. Obejmowało łańcuch exploitów wykorzystujący CVE-2021-37973 i CVE-2021-37976, aby uciec z piaskownicy Chrome, wykorzystując go do usunięcia drugiego exploita w celu eskalacji uprawnień i wdrożenia backdoora.

Trzecia kampania — pełny exploit 0-day na Androida — została wykryta w październiku 2021 r. na zaktualizowanym telefonie Samsung z ówczesną najnowszą wersją przeglądarki Chrome. Atakujący połączył dwie luki, CVE-2021-38003 i CVE-2021-1048, aby wydostać się z piaskownicy i naruszyć system poprzez wstrzyknięcie złośliwego kodu do uprzywilejowanych procesów.

Google TAG zwrócił uwagę, że chociaż CVE-2021-1048 został naprawiony w jądrze Linuksa we wrześniu 2020 r., to w zeszłym roku został przeniesiony na Androida, ponieważ poprawka nie została oznaczona jako problem bezpieczeństwa.

Na tym przykładzie widzimy, że atakujący aktywnie poszukują i czerpią zyski z takich powoli naprawianych luk w systemach. Zwalczanie szkodliwych praktyk komercyjnego przemysłu nadzoru będzie wymagało solidnego, kompleksowego podejścia, które obejmuje współpracę między zespołami ds. analizy zagrożeń, obrońcami sieci, badaczami akademickimi i platformami technologicznymi. Kluczowym aspektem jest określnie czy dana podatność jest krytyczna i musi zostać naprawiona niezwłocznie czy można poczekać z łatką kilka miesięcy lub całkowicie ją pominąć.

Autor: 5 min czytania

Popularne

7-Zip podatny na NTFS Heap Overflow

7-Zip podatny na NTFS Heap Overflow

Jaroslav Lobačevski z GitHub Security Lab opublikował analizę nowej podatności odnalezionej w 7-Zip, oznaczonej jako GHSL-2026-140. Luka dotyczy parsera NTFS i prowadzi do uszkodzenia pamięci procesu, co w...
6 min czytania 28 maj 2026 07:52
Krytyczna luka w Windows Search ujawnia hashe NTLMv2. Microsoft nie wydał jeszcze poprawki

Krytyczna luka w Windows Search ujawnia hashe NTLMv2. Microsoft nie wydał jeszcze poprawki

Eksperci z Huntress ujawnili nową podatność, umożliwiającą wyciek poświadczeń NTLMv2 za pośrednictwem mechanizmu Windows Search. Problem dotyczy obsługi schematu URI wykorzystywanego przez Eksplorator Windows d...
7 min czytania 8 cze 2026 06:59
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

Jeszcze w piątek opisywaliśmy nowe podatności typu zero-day, o nazwach YellowKey oraz GreenPlasma, uderzające w mechanizmy bezpieczeństwa systemów Windows. Najnowsze informacje pokazują jednak, że spr...
8 min czytania 18 maj 2026 07:58
19-letnia luka w jądrze Linuksa naraża systemy na dostęp root

19-letnia luka w jądrze Linuksa naraża systemy na dostęp root

Właśnie opublikowano kod exploita Proof-of-Concept (PoC) dla luki CIFSwitch, która umożliwia użytkownikom o niskich uprawnieniach uzyskanie dostępu root w podatnych systemach Linux. Luka w zabezpieczeniach jądra...
3 min czytania 3 cze 2026 08:00
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Popularne
7-Zip podatny na NTFS Heap Overflow
Krytyczna luka w Windows Search ujawnia hashe NTLMv2. Microsoft nie wydał jeszcze poprawki
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a
19-letnia luka w jądrze Linuksa naraża systemy na dostęp root
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.