Аналитики команды Google Threat Analysis Group (TAG) рассказали об обнаружении сразу нескольких цепочек эксплоитов, использующих уязвимости 0-day и n-day в Android, iOS и мобильных версиях браузера Chrome для установки коммерческого шпионского ПО и вредоносных приложений на устройства жертв.
Шпионское ПО и эксплоиты для 0-day проблем доставлялись через обширную сеть, состоящую более чем из 1000 вредоносных доменов, включая домены, имитирующие сайты медиа в разных странах.
В рамках первой кампании, обнаруженной еще в ноябре 2022 года, злоумышленники рассылали SMS-сообщения с укороченными ссылками bit.ly на устройства Android и Apple. Когда жертвы переходили по этим ссылкам, сначала они попадали на страницу, устанавливавшую на устройство шпионское ПО, а затем перенаправлялись либо на легитимный сайт итальянской транспортно-логистической компании BRT, либо на популярный малазийский новостной сайт.
Против iOS в этой атаке использовались эксплоиты, злоупотребляющие проблемой удаленного выполнения кода в iOS WebKit (CVE-2022-42856, на тот момент — 0-day) и ошибкой побега из песочницы (CVE-2021-30900). На скомпрометированные устройства Apple злоумышленники доставляли полезную нагрузку, позволяющую отслеживать местонахождение жертв и устанавливать файлы .IPA.
В рамках той же кампании против устройств на Android с ARM GPU использовалась уязвимости CVE-2022-3723 (ошибка type confusion в Chrome, обнаруженная исследователями Avast, которую Google исправила в октябре 2022 года), а также CVE-2022-4135 (побег из песочницы, еще один 0-day) и CVE-2022-38181 (повышение привилегий). Эти уязвимости были исправлены в августе и ноябре 2022 года.
«Когда ARM выпустила исправление для уязвимости CVE-2022-38181, несколько поставщиков, включая Pixel, Samsung, Xiaomi, Oppo и так далее, не включили исправление [в свои обновления], в результате чего злоумышленники могли свободно эксплуатировать ошибку в течение нескольких месяцев», — пишут эксперты.
Вторая вредоносная кампания была обнаружена в декабре 2022 года, когда исследователи Google TAG заметили цепочку эксплоитов, нацеленную на последние версии браузера Samsung, с использованием нескольких 0-day и n-day проблем.
В рамках этих атак жертв из ОАЭ перенаправляли на страницы с эксплоитами, идентичные тем, которые ранее создавались поставщиком шпионского ПО Variston IT для собственного эксплоит-фреймворка Heliconia. Эти страницы нацеливались на длинный список уязвимостей, в том числе:
- CVE-2022-4262 — type confusion уязвимость в Chrome (0-day на момент эксплуатации);
- CVE-2022-3038 — побег из песочницы Chrome;
- CVE-2022-22706 — уязвимость драйвера Mali GPU, исправленная в январе 2022 года (не исправлено в прошивке Samsung на момент атак);
- CVE-2023-0266 — состояние гонки, связанное со звуковой подсистемой ядра Linux (0-day на момент эксплуатации);
- множественные утечки информации ядра, включая CVE-2022-22706 и CVE-2023-0266.
В итоге на устройствах целей разворачивался набор шпионских программ для Android, написанных на C++, предназначенных для расшифровки и извлечения данных из многочисленных мессенджеров и браузерных приложений.
Обе кампании были таргетированными, и эксперты подчеркивают, что в этих случаях злоумышленники «воспользовались большим временным окном, которое образовалось между выпуском исправления и его полным развертыванием на устройствах конечных пользователей»,
«Эти кампании могут указывать на то, что поставщики шпионских решений обмениваются друг с другом эксплоитами и методами атак, что способствует распространению опасных хакерских инструментов», — гласит отчет TAG.
