Google提醒：黑客利用零日漏洞对Android用户进行监控

谷歌的威胁分析小组(TAG)提醒，黑客利用5个以前未知的Android零日漏洞，安装由商业监控开发商Cytrox开发的Predator间谍软件。并且，在2021年8月至2021年10月之间进行攻击活动。据悉， Predator 软件主要针对 Android 用户，攻击者利用安卓操作系统在安卓设备上植入 Predator 间谍软件，以此监控安卓用户。

这些漏洞是由一家商业监控公司 Cytrox 打包并出售给不同的政府支持的参与者，这些参与者至少在三个活动中使用了这些漏洞。Google TAG成员Clement Lecigne和Christian Resell说。

据谷歌的威胁分析小组分析，购买 Android 漏洞的国家支持的行为者位于希腊、马达加斯加、科特迪瓦、塞尔维亚埃及、亚美尼亚、西班牙和印度尼西亚。而且可能还有其他客户。这和与多伦多大学 Citizen Lab 的研究人员在 12 月发表的关于 Cytrox 的研究结果一致，黑客工具利用了 5 个以前未知的Android漏洞，以及已知的缺陷，这些缺陷有可用的修复方法，但受害者没有修补。

这5个未知的漏洞如下：

Chrome中的 漏洞：

CVE- 2021-37973；

CVE-2021-37976； 

CVE-2021-38000；

 CVE-2021-38003；

Android中的漏洞：

CVE-2021-1048

针对零日漏洞的3个不同活动中的攻击

活动 1：从Chrome 重定向到 SBrowser (CVE-2021-38000)

活动 2：Chrome 沙盒逃逸（CVE-2021-37973、CVE-2021-37976）

活动 3：完整的 Android 0day漏洞利用链（CVE-2021-38003、CVE-2021-1048）

这3个活动通过电子邮件向目标Android用户提供了模仿 URL 缩短服务的一次性链接，但这是有限制的，活动目标数量每次都是几十个用户。当目标用户单机后，该链接会将目标重定向到攻击者拥有的域，该域在将浏览器重定向到合法网站之前传递了漏洞。如果链接失效，用户被直接重定向到合法网站。

这种攻击技术也被用于记者和其他一些被警告说是政府支持的攻击目标的谷歌用户。在这些活动中，攻击者首先安装了带有 RAT功能的Android Alien银行木马，用于加载Predator Android植入程序，并允许录制音频、添加 CA 证书和隐藏应用程序。

商业间谍软件行业让那些没有资金或专业知识来开发自己的黑客工具的政府获得了一系列广泛的产品和监控服务。这使压迫性政权和执法部门能够更广泛地获得工具，使他们能够监视持不同政见者、人权活动家、记者、政治对手和普通公民。虽然很多注意力都集中在针对苹果公司iOS 系统的间谍软件上，但Android系统是全球的主流操作系统，也一直面临着类似的利用企图。

据了解，TAG公司目前跟踪了30多家监控租赁供应商，这些供应商提供一系列的漏洞和监控工具。因此，Android用户要加强自身安全防御，不要随意点击链接，避免安装间谍软件，遭到黑客的监控。