Аналитики Google Threat Analysis Group (TAG) обнаружили, что правительственные хакеры используют сразу пять уязвимостей нулевого дня для установки малвари Predator, созданной разработчиком коммерческой спайвари Cytrox.

Исследователи рассказывают, что зафиксировали три кампании, длившиеся с августа по октябрь 2021 года. В этих атаках злоумышленники использовали 0-day эксплоиты, нацеленные на Chrome и Android, причем речь идет даже о полностью обновленных Android-устройствах. При этом эксплоиты эксперты «с высокой степенью уверенности» связывают эти уязвимости их их эксплуатацию с компанией Cytrox из Северной Македонии.

По данным TAG, правительственные хакеры приобретали и использовали эти эксплоиты для заражения шпионским ПО Android-устройств в Египте, Армении, Греции, Мадагаскаре, Кот-д'Ивуара, Сербии, Испании и Индонезии.

«0-day эксплоиты использовались наряду с n-day эксплоитами, поскольку разработчики воспользовались промежутком между временем, когда некоторые критические ошибки уже исправлены, но еще не получили отметки проблем безопасности, и временем, когда эти исправления уже полностью развернуты в экосистеме Android», — пишут эксперты.

Для распространения Predator использовались следующие уязвимости:

Эксплоиты для этих проблем применялись в рамках трех отдельный кампаний:

  • кампания №1 — перенаправление на SBrowser из Chrome (CVE-2021-38000);
  • кампания № 2 — побег из песочницы Chrome (CVE-2021-37973, CVE-2021-37976);
  • кампания №3 — цепочка 0-day эксплоитов для Android (CVE-2021-38003, CVE-2021-1048).

«Все три кампании доставляли одноразовые ссылки, имитирующие службы сокращения URL, целевым пользователям Android по электронной почте. Кампании были ограничены — в каждом случае мы оцениваем количество целей десятками пользователей, — гласит отчет TAG. — После нажатия на ссылку, та перенаправляла жертву на домен, принадлежащий злоумышленнику, который задействовал эксплоиты, прежде чем переадресовать браузер на легитимный сайт. Если ссылка  была неактивна, пользователь сразу попадал на легитимный сайт».

Конечной целью злоумышленников было распространение RAT-малвари Alien, которая использовалась для загрузки Predator на зараженные устройства. Этот вредонос получал команды от Predator через IPC-механизм, мог записывать аудио, добавлять сертификаты ЦС и скрывал приложения, чтобы избежать обнаружения.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии