El Grupo de análisis de amenazas (TAG) de Google descubrió varias cadenas de explotación que utilizan vulnerabilidades de día cero y día n de Android, iOS y Chrome para instalar spyware comercial y aplicaciones maliciosas en los dispositivos de los objetivos.
Los atacantes se dirigieron a usuarios de iOS y Android con cadenas de explotación separadas como parte de una primera campaña detectada en noviembre de 2022.
Usaron mensajes de texto que empujaban enlaces acortados de bit.ly para redirigir a las víctimas a sitios web de envío legítimos de Italia, Malasia y Kazajstán después de enviarlos primero a páginas que desencadenaban exploits que abusaban de una ejecución remota de código WebKit de día cero (CVE-2022-42856 ) y un error de escape de sandbox ( CVE-2021-30900 ).
En los dispositivos comprometidos, los actores de amenazas lanzaron una carga útil que les permitió rastrear la ubicación de las víctimas e instalar archivos .IPA.
En esta campaña, también se usó una cadena de exploits de Android para atacar dispositivos con GPU ARM con un día cero de omisión de zona de pruebas de GPU de Chrome ( CVE-2022-4135 ), un error de escalada de privilegios de ARM ( CVE-2022-38181 ) y un error de ofuscación en Chrome ( CVE-2022-3723 ) con una carga útil desconocida.
"Cuando ARM lanzó una solución para CVE-2022-38181, varios proveedores, incluidos Pixel, Samsung, Xiaomi, Oppo y otros, no incorporaron el parche, lo que resultó en una situación en la que los atacantes pudieron explotar libremente el error durante varios meses. " Dijeron los investigadores de Google TAG .
Segunda serie de ataques contra usuarios de Samsung
Se detectó una segunda campaña en diciembre de 2022 después de que los investigadores de Google TAG encontraran una cadena de exploits dirigida a versiones actualizadas del navegador de Internet de Samsung utilizando múltiples días 0 y días n.
Los objetivos de los Emiratos Árabes Unidos (EAU) fueron redirigidos para explotar páginas idénticas a las creadas por el proveedor comercial de spyware Variston para su marco de explotación de Heliconia y apuntando a una larga lista de fallas, que incluyen:
- CVE-2022-4262: vulnerabilidad de ofuscación de tipo Chrome (día cero en el momento de la explotación)
- CVE-2022-3038 - Escape de caja de arena cromada
- CVE-2022-22706: Vulnerabilidad del controlador kernel GPU de Mali que brinda acceso al sistema y parcheado en enero de 2022 (no abordado en el firmware de Samsung en el momento de los ataques)
- CVE-2023-0266: vulnerabilidad de condición de carrera del subsistema de sonido del kernel de Linux que otorga acceso de lectura y escritura al kernel (día cero en el momento de la explotación)
- La cadena de explotación también usó varios días cero de fuga de información del kernel al explotar CVE-2022-22706 y CVE-2023-0266.
Al final, la cadena de explotación implementó con éxito una suite de spyware basada en C++ para Android, completa con bibliotecas diseñadas para descifrar y extraer datos de numerosas aplicaciones de chat y navegador.
Ambas campañas estaban altamente dirigidas y los atacantes "aprovecharon la gran brecha de tiempo entre el lanzamiento de la corrección y el momento en que se implementó por completo en los dispositivos de los usuarios finales", según Google TAG.
"Estas campañas también pueden indicar que los proveedores de vigilancia comparten exploits y técnicas, lo que permite la proliferación de herramientas de piratería peligrosas".
Esfuerzos de rastreo de proveedores de spyware
Esto es parte de un esfuerzo continuo para vigilar el mercado de spyware comercial y rastrear las vulnerabilidades de día cero que están explotando para instalar sus herramientas en los dispositivos vulnerables de activistas políticos y de derechos humanos, periodistas, políticos y otros altos cargos.
Google dijo en mayo de 2022 que estaba rastreando activamente a más de 30 proveedores con niveles variables de exposición pública y sofisticación conocidos por vender capacidades de vigilancia o exploits a actores de amenazas patrocinados por gobiernos en todo el mundo.
En noviembre de 2022, los investigadores de Google TAG revelaron que había vinculado un marco de explotación conocido como Heliconia y dirigido a las vulnerabilidades de Chrome, Firefox y Microsoft Defender a la empresa de software española Variston IT.
En junio, informó que algunos proveedores de servicios de Internet (ISP) ayudaron al proveedor italiano de spyware RCS Labs a infectar los dispositivos de los usuarios de Android e iOS en Italia y Kazajstán con herramientas comerciales de vigilancia.
Un mes antes, Google TAG sacó a la luz otra campaña de vigilancia , donde los atacantes patrocinados por el estado explotaron cinco días cero para instalar el software espía Predator desarrollado por Cytrox.
