返回

Cytrox的Predator间谍软件以零日漏洞攻击的Android用户为目标

发布时间:2022-06-26 03:39:49 438
# 漏洞# 设备# 软件# 工具# 补丁
Spyware

谷歌威胁分析小组(TAG)周四指责一名名为Cytrox的北马其顿间谍软件开发人员针对5个零天(又名0天)缺陷开发漏洞,其中4个在Chrome中,1个在Android中,以Android用户为目标。

TAG研究人员Clement Lecigne和Christian Reseller表示:“0天漏洞与n天漏洞同时使用,因为开发人员利用了修补一些关键漏洞但未标记为安全问题与这些补丁在整个Android生态系统中完全部署之间的时间差”。

据称Cytrox将这些漏洞打包出售给埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚的不同政府支持的行动者,这些行动者又在至少三次不同的战役中将这些漏洞武器化。

这家商业监控公司是Predator的制造商,Predator是一种类似于NSO集团Pegasus的植入物,众所周知,该公司已经开发出能够让其客户渗透iOS和Android设备的工具。

2021年12月,Meta Platforms(前Facebook)披露,该公司已采取行动,删除了Facebook和Instagram上约300个账户,作为其妥协活动的一部分。

下面列出了Chrome和Android中五个被利用的零日缺陷-

  • 在门户API中免费使用
  • 核心信息泄漏
  • CVE-2021-38000意图中不受信任的输入验证不足(根本原因分析)
  • CVE-2021-38003-V8中的不当实现,以及
  • CVE-2021-1048-Android内核中释放后使用(根本原因分析)

据TAG称,所有这三次活动都是从一封矛式网络钓鱼电子邮件开始的,其中包含模仿URL缩短器服务的一次性链接,一旦点击,就会将目标重定向到一个流氓域名,该域名在将受害者带到可信网站之前放弃了利用漏洞的攻击。

Lecigne和Resell指出:“活动有限;在每种情况下,我们评估的目标用户数都在数十人”。“如果链接未处于活动状态,则会将用户直接重定向到合法网站”。

研究人员评估,此次行动的最终目标是分发一个名为Alien的恶意软件,该软件是将Predator加载到受感染的Android设备上的先驱。

这种“简单”恶意软件通过进程间通信(IPC)机制接收捕食者的命令,旨在录制音频、添加CA证书和隐藏应用程序以逃避检测。

三场战役中的第一场发生在2021 8月。它使用谷歌Chrome作为三星Galaxy S21设备的起点,通过利用CVE-2021-38000,迫使浏览器在三星互联网浏览器中加载另一个URL,而无需用户交互。

另一次入侵发生在一个月后,并被交付给最新的三星Galaxy S10,涉及一条利用CVE-2021-37973和CVE-2021-37976的漏洞链,以逃离Chrome沙盒(不要与隐私沙盒混淆),利用它放弃第二次利用漏洞提升权限并部署后门。

第三次战役,一次完整的Android 0天攻击,2021年10月,在运行当时最新版本Chrome的最新三星手机上检测到。它将CVE-2021-38003和CVE-2021-1048这两个缺陷串联在一起,通过向特权进程中注入恶意代码来逃避沙箱并危害系统。

Google TAG指出,虽然CVE-2021-1048于2020年9月在Linux内核中得到了修复,但由于修复没有标记为安全问题,直到去年才被后移植到Android。

研究人员表示:“攻击者正在积极寻找这些缓慢修复的漏洞,并从中获利”。

“对付商业监视行业的有害做法需要一种稳健、全面的方法,包括威胁情报团队、网络维护者、学术研究人员和技术平台之间的合作”。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线