Segundo informações do Threat Analysis Group (TAG) do Google, alguns ISPs ajudaram fornecedores de spyware a infectar smartphones.
O Threat Analysis Group (TAG) do Google revelou recentemente que o RCS Labs, um fornecedor italiano de spyware, recebeu ajuda de alguns provedores de serviços de Internet (ISPs) para infectar usuários de Android e iOS na Itália e no Cazaquistão, com ferramentas de vigilância comercial.
ISPs ajudaram fornecedores de spyware a infectar smartphones
Sim. Os ISPs ajudaram fornecedores de spyware a infectar smartphones, e o RCS Labs é apenas um dos mais de 30 fornecedores de spyware cuja atividade é atualmente rastreada pelo Google, de acordo com os analistas do Google TAG Benoit Sevens e Clement Lecigne.
Durante ataques que usaram downloads drive-by-download para infectar várias vítimas, os alvos foram solicitados a instalar aplicativos maliciosos (camuflados como aplicativos legítimos de operadoras de celular) para voltar a ficar online depois que sua conexão com a Internet foi cortada com a ajuda de seu ISP.
“Em alguns casos, acreditamos que os atores trabalharam com o ISP do alvo para desabilitar a conectividade de dados móveis do alvo.”, afirma o relatório.
“Uma vez desativado, o invasor enviaria um link malicioso via SMS solicitando ao alvo que instalasse um aplicativo para recuperar sua conectividade de dados.”
Se eles não pudessem trabalhar diretamente com os ISPs de seus alvos, os invasores disfarçariam os aplicativos maliciosos como aplicativos de mensagens.
Eles os empurraram usando uma página de suporte inventada que alegava ajudar as vítimas em potencial a recuperar suas contas suspensas do Facebook, Instagram ou WhatsApp.
No entanto, embora os links do Facebook e do Instagram permitissem instalar os aplicativos oficiais, ao clicar no link do WhatsApp, eles acabariam instalando uma versão maliciosa do aplicativo WhatsApp legítimo.
O Google diz que os aplicativos maliciosos implantados nos dispositivos das vítimas não estavam disponíveis na Apple App Store ou no Google Play.
No entanto, os invasores fizeram o sideload da versão do iOS (assinada com um certificado corporativo) e pediram ao alvo para habilitar a instalação de aplicativos de fontes desconhecidas.
O aplicativo iOS detectado nesses ataques veio com vários exploits integrados, permitindo que ele aumentasse os privilégios no dispositivo comprometido e roubasse arquivos.
“Ele contém um wrapper genérico de exploração de escalonamento de privilégios que é usado por seis explorações diferentes. Ele também contém um agente minimalista capaz de exfiltrar arquivos interessantes do dispositivo, como o banco de dados do Whatsapp”, explicaram os analistas.
Ao todo, ele agrupou seis exploits diferentes:
- CVE-2018-4344 internamente referido e conhecido publicamente como LightSpeed.
- CVE-2019-8605 internamente referido como SockPort2 e conhecido publicamente como SockPuppet
- CVE-2020-3837 internamente referido e conhecido publicamente como TimeWaste.
- CVE-2020-9907 internamente referido como AveCesare.
- CVE-2021-30883 internamente referido como Clicked2, marcado como sendo explorado em estado selvagem pela Apple em outubro de 2021.
- CVE-2021-30983 internamente referido como Clicked3, corrigido pela Apple em dezembro de 2021.
“Todas as explorações usadas antes de 2021 são baseadas em explorações públicas escritas por diferentes comunidades de jailbreak. No momento da descoberta, acreditamos que CVE-2021-30883 e CVE-2021-30983 eram duas explorações de dia 0”, acrescentaram.
Por outro lado, o aplicativo Android malicioso veio sem exploits agrupados. Ainda assim, apresentava recursos que permitiriam baixar e executar módulos adicionais usando a API DexClassLoader.
O Google alertou as vítimas do Android que seus dispositivos foram invadidos e infectados com spyware, apelidado de Hermit pelos pesquisadores de segurança da Lookout em uma análise detalhada deste implante publicada na semana passada.
De acordo com a Lookout, o Hermit é um “vigilância modular” que “pode gravar áudio e fazer e redirecionar chamadas telefônicas, além de coletar dados como registros de chamadas, contatos, fotos, localização do dispositivo e mensagens SMS”.
O Google também desativou os projetos do Firebase usados pelos agentes de ameaças para configurar uma infraestrutura de comando e controle para esta campanha.
Em maio, o Google TAG expôs outra campanha na qual agentes de ameaças apoiados pelo estado usaram cinco falhas de segurança de dia zero para instalar o spyware Predator desenvolvido pelo desenvolvedor de vigilância comercial Cytrox.
Na época, disse:
“A TAG está rastreando ativamente mais de 30 fornecedores com níveis variados de sofisticação e exposição pública vendendo exploits ou capacidades de vigilância para atores apoiados pelo governo.”
