Spyware Predator infecta Android com exploits zero-day, dizem pesquisadores

O spyware Predator desenvolvido pela empresa de vigilância comercial Cytrox e concorrente do Pegasus, da israelense NSO Group, foi usado contra cinco vulnerabilidades zero-day visando o navegador Chrome e o sistema operacional Android, segundo o Grupo de Análise de Ameaças (TAG) do Google.

Os ataques são parte de três campanhas realizadas entre agosto e outubro do ano passado. De acordo com o TAG, o Predator foi instalado em dispositivos Android atualizados. “Avaliamos com alta confiança que estas explorações foram reunidas por uma única empresa de vigilância comercial, Cytrox, e vendidas a diferentes atores apoiados pelo governo que as utilizaram em pelo menos as três campanhas discutidas abaixo”, disseram os membros Clement Lecigne e Christian Resell, do Google TAG.

Entre os clientes que compraram e usaram essas explorações contra alvos usuários de Android, foram identificados o governo do Egito, Armênia, Grécia, Madagascar, Costa do Marfim, Sérvia, Espanha e Indonésia.

As descobertas do TAG se alinham com o relatório sobre a Cytrox publicado pela CitizenLab em dezembro de 2021. À época, os pesquisadores haviam descoberto o spyware em um telefone do político egípcio exilado Ayman Nour.

Além do Predator, o telefone também foi infectado pelo Pegasus, entretanto, sendo operado por clientes governamentais distintos, segundo a avaliação da CitizenLab.

More TAG research from @_clem1 & @0xbadcafe1

Campaigns targeting Android users with five 0-day vulnerabilities. We assess the exploits were packaged by a single commercial surveillance company, Cytrox, and sold to different govt-backed actors.https://t.co/wRKpCuIB8c

— Shane Huntley (@ShaneHuntley) May 19, 2022

Exploits zero-day de Android e Chrome

Dentre os cinco exploits zero-day descobertos pelos pesquisadores, quatro se aproveitam de vulnerabilidades do navegador Chrome (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003) e uma de dispositivos Android (CVE-2021-1048). Algumas campanhas se aproveitaram mais de uma vulnerabilidade para instalar o malware no dispositivo-alvo.

Foto: Deepanker Verma/Pexels

“Todas as três campanhas entregaram links únicos que imitam os serviços de encurtadores de URL para os usuários-alvo do Android via e-mail. As campanhas foram limitadas – em cada caso, avaliamos o número de alvos nas dezenas de usuários”, acrescentaram os analistas do TAG.

• Campanha #1 – redirecionamento para o SBrowser do Chrome (CVE-2021-38000)
• Campanha #2 – Fuga da sandbox do Chrome (CVE-2021-37973, CVE-2021-37976)
• Campanha #3 – Cadeia completa de exploração zero-day do Android (CVE-2021-38003, CVE-2021-1048)

Eles explicam que usuários-alvo que clicam no link malicioso são redirecionados a um domínio de propriedade do atacante, entregando exploits antes de redirecionar para o site legítimo no navegador. Em links não ativos, a vítima era direcionada diretamente para o site requisitado.

A técnica de ataque também é usada contra jornalistas e outros usuários de Android, advertidos como alvos apoiados pelo governo.

Spyware baixado usa trojan bancário para Android   

Nas campanhas descritas, a primeira etapa do ataque consiste em instalar o Alien, conhecido também como AlienBot, um trojan bancário para Android, cuja funcionalidade RAT é responsável por carregar o spyware Predator, capaz de gravar áudio, adicionar certificados CA e ocultar apps.

O presente relatório dos analistas do TAG é uma sequência de uma análise realizada em julho de 2021, na qual abordava outras falhas zero-day em navegadores Chrome, Internet Explorer, e WebKit (Safari) descobertas no mesmo ano.

No momento, os pesquisadores rastreiam mais de 30 fornecedores com diferentes níveis de sofisticação e exposição pública vendendo explorações ou capacidades de vigilância a atores apoiados pelo governo, informaram na última quinta-feira (26).

Via BleepingComputer