O Threat Analysis Group do Google encontrou mais falhas zero-day e n-day do Android e iOS. Confira os detalhes dessas ameaças.
Uma falha zero-day é uma vulnerabilidade de segurança em um software ou sistema operacional que é desconhecida a todos, incluindo o fabricante do software ou sistema operacional.
O nome se origina porque o número de dias entre o descobrimento da vulnerabilidade e uma correção para ela é zero. Estas vulnerabilidades podem ser exploradas por invasores para obter acesso não autorizado a sistemas e dados.
Dito isso, o Grupo de Análise de Ameaças (Threat Analysis Group, ou TAG) do Google descobriu várias cadeias de exploração usando vulnerabilidades zero-day e n-day do Android, iOS e Chrome para instalar spyware comercial e aplicativos maliciosos nos dispositivos dos alvos.
Google encontrou mais falhas zero-day e n-day do Android e iOS
Os invasores visaram usuários de iOS e Android com cadeias de exploração separadas como parte de uma primeira campanha detectada em novembro de 2022.
Eles usaram mensagens de texto empurrando links abreviados bit.ly para redirecionar as vítimas para sites legítimos de remessa da Itália, Malásia e Cazaquistão, depois de primeiro enviá-los para páginas que desencadeiam exploits abusando de uma execução remota de código WebKit zero-day (CVE-2022-42856) e um bug de escape de sandbox (CVE-2021-30900).
Em dispositivos comprometidos, os agentes de ameaças lançaram uma carga que lhes permitiu rastrear a localização das vítimas e instalar arquivos .IPA.
Nesta campanha, uma cadeia de exploração do Android também foi usada para atacar dispositivos com GPUs ARM com um bypass de sandbox GPU Chrome de zero-day (CVE-2022-4135), um bug de escalonamento de privilégio ARM (CVE-2022-38181) e um bug do Chrome bug de confusão de tipo (CVE-2022-3723) com uma carga útil desconhecida.
“Quando a ARM lançou uma correção para CVE-2022-38181, vários fornecedores, incluindo Pixel, Samsung, Xiaomi, Oppo e outros, não incorporaram o patch, resultando em uma situação em que os invasores puderam explorar livremente o bug por vários meses, ” disseram os pesquisadores do Google TAG.
Uma segunda campanha foi detectada em dezembro de 2022, depois que os pesquisadores do Google TAG encontraram uma cadeia de exploração visando versões atualizadas do navegador de Internet Samsung usando vários dias 0 e n dias.
Os alvos dos Emirados Árabes Unidos (EAU) foram redirecionados para explorar páginas idênticas às criadas pelo fornecedor de spyware comercial Variston para sua estrutura de exploração Heliconia e visando uma longa lista de falhas, incluindo:
- CVE-2022-4262 – Vulnerabilidade de confusão do tipo Chrome (zero-day no momento da exploração)
- CVE-2022-3038 – Fuga da sandbox do Chrome
- CVE-2022-22706 – Vulnerabilidade do driver do kernel da GPU do Mali que fornece acesso ao sistema e corrigida em janeiro de 2022 (não abordada no firmware da Samsung no momento dos ataques)
- CVE-2023-0266 – Vulnerabilidade de condição de corrida do subsistema de som do kernel Linux que fornece acesso de leitura e gravação ao kernel (zero-day no momento da exploração)
- A cadeia de exploração também usou vários zero-day de vazamento de informações do kernel ao explorar CVE-2022-22706 e CVE-2023-0266.
No final, a cadeia de exploração implantou com sucesso um conjunto de spyware baseado em C++ para Android, completo com bibliotecas projetadas para descriptografar e extrair dados de vários aplicativos de bate-papo e navegador.
Ambas as campanhas foram altamente direcionadas e os invasores “aproveitaram o grande intervalo de tempo entre o lançamento da correção e quando ela foi totalmente implantada nos dispositivos do usuário final”, de acordo com o Google TAG.
“Essas campanhas também podem indicar que explorações e técnicas estão sendo compartilhadas entre fornecedores de vigilância, permitindo a proliferação de ferramentas perigosas de hackers.”
Isso faz parte de um esforço contínuo para ficar de olho no mercado de spyware comercial e rastrear as vulnerabilidades zero-day que estão explorando para instalar suas ferramentas nos dispositivos vulneráveis de direitos humanos e ativistas políticos, jornalistas, políticos, e outros usuários de alto risco em todo o mundo.
O Google disse em maio de 2022 que estava rastreando ativamente mais de 30 fornecedores com níveis variáveis de exposição pública e sofisticação, conhecidos por vender recursos de vigilância ou exploits para agentes de ameaças patrocinados pelo governo em todo o mundo.
Em novembro de 2022, os pesquisadores do Google TAG revelaram que havia vinculado uma estrutura de exploração conhecida como Heliconia e direcionada às vulnerabilidades do Chrome, Firefox e Microsoft Defender à empresa espanhola de software Variston IT.
Em junho, informou que alguns provedores de serviços de Internet (ISPs) ajudaram o fornecedor italiano de spyware RCS Labs a infectar os dispositivos de usuários de Android e iOS na Itália e no Cazaquistão com ferramentas de vigilância comercial.
Um mês antes, outra campanha de vigilância foi revelada pelo Google TAG, onde invasores patrocinados pelo estado exploraram cinco zero-day para instalar o spyware Predator desenvolvido pela Cytrox.
Muito bom amigo, vc tem contribuído muito com os usuários do linux.