Predator-spyware van Cytrox richt zich op Android-gebruikers met zero-day-exploits

Spyware Nachrichten

De Threat Analysis Group (TAG) van Google wees donderdag met de vinger naar een Noord-Macedonische spyware-ontwikkelaar genaamd Cytrox voor het ontwikkelen van exploits tegen vijf zero-day (ook wel 0-day) fouten, vier in Chrome en één in Android, om Android-gebruikers te targeten.

„De 0-day-exploits werden gebruikt naast n-day-exploits omdat de ontwikkelaars gebruik maakten van het tijdsverschil tussen het moment waarop enkele kritieke bugs werden gepatcht maar niet werden gemarkeerd als beveiligingsproblemen, en het moment waarop deze patches volledig werden geïmplementeerd in het Android-ecosysteem,“ TAG-onderzoekers Clement Lecigne en Christian Resell zei.

Cytrox zou de exploits hebben verpakt en verkocht aan verschillende door de overheid gesteunde actoren in Egypte, Armenië, Griekenland, Madagaskar, Ivoorkust, Servië, Spanje en Indonesië, die op hun beurt de bugs in ten minste drie verschillende campagnes.

Het commerciële bewakingsbedrijf is de maker van: Roofdiereen implantaat analoog met die van Pegasus van NSO Group, en het is bekend dat het tools heeft ontwikkeld waarmee zijn klanten iOS- en Android-apparaten kunnen penetreren.

In december 2021 maakte Meta Platforms (voorheen Facebook) bekend dat het ongeveer 300 accounts op Facebook en Instagram had verwijderd die het bedrijf gebruikte als onderdeel van zijn compromiscampagnes.

De lijst met de vijf misbruikte zero-day-fouten in Chrome en Android staat hieronder:

  • CVE-2021-37973 – Gebruik-na-vrij in Portals API
  • CVE-2021-37976 – Informatielek in kern
  • CVE-2021-38000 – Onvoldoende validatie van niet-vertrouwde invoer in Intents (analyse van de oorzaak)
  • CVE-2021-38003 – Ongepaste implementatie in V8, en
  • CVE-2021-1048 – Gebruik-na-vrij in Android-kernel (analyse van de oorzaak)

Volgens TAG zijn alle drie de campagnes in kwestie begonnen met een spear-phishing-e-mail die eenmalige links bevatte die URL-verkortingsservices nabootsten die, zodra erop werd geklikt, de doelen doorverwezen naar een frauduleus domein dat de exploits liet vallen voordat het slachtoffer naar een legitieme plaats.

„De campagnes waren beperkt – in elk geval schatten we dat het aantal doelen in de tientallen gebruikers lag“, merkten Lecigne en Resell op. „Als de link niet actief was, werd de gebruiker direct doorgestuurd naar een legitieme website.“

Het uiteindelijke doel van de operatie, zo beoordeelden de onderzoekers, was om een ​​malware genaamd Alien te verspreiden, die fungeert als een voorloper voor het laden van Predator op geïnfecteerde Android-apparaten.

De „eenvoudige“ malware, die opdrachten van Predator ontvangt via een inter-procescommunicatie (IPC)-mechanisme, is ontworpen om audio op te nemen, CA-certificaten toe te voegen en apps te verbergen om detectie te omzeilen.

De eerste van de drie campagnes vond plaats in augustus 2021. Het gebruikte Google Chrome als startpunt op een Samsung Galaxy S21-apparaat om de browser te dwingen een andere URL in de Samsung-internetbrowser te laden zonder tussenkomst van de gebruiker door gebruik te maken van CVE-2021- 38000.

Een andere inbraak, die een maand later plaatsvond en werd afgeleverd op een up-to-date Samsung Galaxy S10, betrof een exploitketen die CVE-2021-37973 en CVE-2021-37976 gebruikte om te ontsnappen aan de Chromen zandbak (niet te verwarren met Privacy Sandbox), gebruikmakend van het om een ​​tweede exploit te laten vallen om privileges te escaleren en de achterdeur in te zetten.

De derde campagne – een volledige Android 0-day exploit – werd in oktober 2021 gedetecteerd op een up-to-date Samsung-telefoon met de toen nieuwste versie van Chrome. Het bracht twee fouten aan elkaar, CVE-2021-38003 en CVE-2021-1048, om uit de sandbox te ontsnappen en het systeem te compromitteren door kwaadaardige code in geprivilegieerde processen te injecteren.

Google TAG wees erop dat hoewel CVE-2021-1048 in september 2020 in de Linux-kernel was opgelost, het pas vorig jaar werd teruggezet naar Android omdat de repareren is niet gemarkeerd als een beveiligingsprobleem.

„Aanvallers zijn actief op zoek naar en profiteren van dergelijke langzaam opgeloste kwetsbaarheden“, aldus de onderzoekers.

„Het aanpakken van de schadelijke praktijken van de commerciële bewakingsindustrie vereist een robuuste, alomvattende aanpak die samenwerking omvat tussen dreigingsinformatieteams, netwerkverdedigers, academische onderzoekers en technologieplatforms.“

David
Rate author
Hackarizona