Vulnerabilidades de dia zero empacotadas no Android usadas para ataques de vigilância cibernética

Uma empresa de vigilância comercial anteriormente exposta por vender um serviço de spyware apelidado de “Predator” continua mirando os usuários e usa explorações de dia 0 para comprometer telefones Android. Saiba mais sobre como se proteger disso.

Um novo relatório do Grupo de Análise de Ameaças do Google expõe o uso de cinco vulnerabilidades de dia zero diferentes direcionadas ao navegador Chrome e aos sistemas operacionais Android.

Fundo

O Google avalia com alta confiança que essas explorações foram empacotadas por uma única empresa de vigilância comercial chamada Cytrox.

A Cytrox é uma empresa da Macedônia do Norte com bases em Israel e na Hungria que foi exposta no final de 2021 por ser a empresa de desenvolvimento e manutenção de um spyware apelidado de “Predator”. A Meta também expôs essa empresa, entre outras 6 empresas que prestam serviços de vigilância por aluguel, e tomou medidas contra ela, banindo-os de seus serviços e alertando alvos suspeitos sobre possíveis comprometimentos. 300 contas do Facebook e Instagram relacionadas ao Cytrox foram removidas pela Meta.

A nova pesquisa do Google explica que a Cytrox vende esses novos exploits para atores apoiados pelo governo, que os usaram em três campanhas de ataque diferentes. Os atores que compraram os serviços da Cytrox estão localizados no Egito, Armênia, Grécia, Madagascar, Costa do Marfim, Sérvia, Espanha e Indonésia.

VEJO: Política de segurança de dispositivos móveis (TechRepublic )

Três campanhas em andamento empacotando as explorações

As três campanhas expostas pela equipe de TAG do Google começam com links pontuais que imitam os serviços de encurtamento de URL. Esses são enviados para os usuários do Android direcionados por e-mail. Uma vez clicado, o link levava o alvo desavisado a um domínio de propriedade do invasor, entregando as explorações antes de mostrar um site legítimo ao alvo.

A carga final, chamada ALIEN, é um malware simples para Android usado para carregar e executar o PREDATOR, o malware Cytrox preferido.

Em termos de segmentação, todas as três campanhas foram baixas, o que significa que cada campanha segmentou apenas dezenas de usuários.

Primeira campanha: Exploits CVE-2021-38000

Esta campanha, descoberta em agosto de 2021, tinha como alvo o Chrome em um smartphone Samsung Galaxy. O link enviado pelos invasores, uma vez aberto com o Chrome, levou a um abuso de falha lógica que forçou o Chrome a carregar outro URL no Samsung Browser, que estava executando uma versão mais antiga e vulnerável do Chromium.

Essa vulnerabilidade provavelmente foi explorada porque os invasores não tinham explorações para a versão do Chrome nesse telefone (91.0.4472). De acordo com o Google, foi vendido por um corretor de exploração e provavelmente abusado por vários fornecedores de vigilância.

Segunda campanha: Chrome Sandbox

Assim como na primeira campanha, esta segunda também teve como alvo um Samsung Galaxy. O telefone estava totalmente atualizado e executando a versão mais recente do Chrome. A análise da exploração identificou duas vulnerabilidades diferentes do Chrome, CVE-2021-37973 e CVE-2021-37976.

Depois que o escape da sandbox foi bem-sucedido, o exploit baixou outro exploit para elevar os privilégios dos usuários e instalar o implante. Não foi possível obter uma cópia do exploit.

Terceira campanha: exploração completa de dia zero do Android

Essa campanha detectada em outubro de 2021 desencadeou uma exploração em cadeia completa de um smartphone Samsung atualizado mais uma vez executando a versão mais recente do Chrome.

Duas explorações de dia zero foram usadas, CVE-2021-38003 e CVE-2021-1048, para permitir que os invasores instalem sua carga útil final.

Problema de patch levantado

O CVE-2021-1048, que permite que um invasor escape da sandbox do Chrome e comprometa o sistema injetando código em processos privilegiados, foi corrigido no kernel do Linux em setembro de 2020, cerca de um ano antes da campanha de ataque descoberta pelo Google.

O commit para essa vulnerabilidade não foi sinalizado como um problema de segurança, resultando na não portabilidade do patch na maioria dos kernels do Android. Um ano após a correção, todos os kernels da Samsung estavam vulneráveis ​​e provavelmente muitas outras marcas de smartphones com sistemas Android também foram afetadas. Os kernels LTS executados em telefones Pixel eram recentes o suficiente e incluíam a correção para a vulnerabilidade.

O Google destaca o fato de não ser a primeira vez que um incidente desse tipo acontece e menciona outro exemplo – a vulnerabilidade Bad Binder em 2019.

Esse problema no backport de alguns patches é lucrativo para invasores que estão procurando ativamente por vulnerabilidades corrigidas lentamente.

Mais do que Cytrox em estado selvagem

O Google afirma que atualmente está rastreando mais de 30 fornecedores com diferentes níveis de sofisticação e exposição pública vendendo explorações ou recursos de vigilância para atores apoiados pelo governo e continuará atualizando a comunidade à medida que descobrem essas campanhas.

Esses tipos de entidades comerciais geralmente possuem estruturas de propriedade complexas, rebranding rápido e alianças com parceiros da área financeira que dificultam a investigação, mas ainda é possível detectar seu spyware em redes corporativas.

Como você pode se proteger dessa ameaça?

Ameaças em telefones Android são mais difíceis de detectar do que em laptops porque os smartphones geralmente não têm segurança em comparação com os computadores.

Para começar, o sistema operacional e todos os aplicativos devem estar sempre atualizados e corrigidos.

As ferramentas de segurança devem ser implantadas em smartphones, e a instalação de aplicativos desnecessários nos dispositivos deve ser proibida, além de proibir a instalação de aplicativos de terceiros provenientes de fontes não confiáveis.

As permissões de cada aplicativo devem ser verificadas cuidadosamente, especialmente ao instalar um novo. Os usuários devem ser extremamente cautelosos ao instalar aplicativos que solicitam direitos para manipular SMS ou gravar áudio, o que pode ser um sinal de alerta para um spyware.