Google’ın Tehdit Analizi Grubu (TAG) Perşembe günü parmaklarını Cytrox adlı bir Kuzey Makedon casus yazılım geliştiricisine, dördü Chrome’da ve biri Android’de olmak üzere beş sıfır günlük (diğer bir deyişle 0 günlük) kusurlara karşı, Android kullanıcılarını hedeflemek için işaret etti.
TAG araştırmacıları, “Geliştiriciler, bazı kritik hataların yamalandığı ancak güvenlik sorunları olarak işaretlenmediği zaman ile bu yamaların Android ekosisteminde tam olarak dağıtıldığı zaman arasındaki zaman farkından yararlandığı için, n-günlük istismarların yanında kullanıldı.” Clement Lecigne ve Christian Resell dedim.
Cytrox’un açıkları paketlediği ve Mısır, Ermenistan, Yunanistan, Madagaskar, Fildişi Sahili, Sırbistan, İspanya ve Endonezya’da bulunan ve sırayla en azından böcekleri silahlandıran hükümet destekli farklı aktörlere sattığı iddia ediliyor. üç farklı kampanya
Ticari gözetim şirketi, yırtıcı hayvanbir implant benzer NSO Group’un Pegasus’ununkine benzer ve müşterilerinin iOS ve Android cihazlara girmesini sağlayan araçlar geliştirdiği bilinmektedir.
Aralık 2021’de Meta Platforms (eski adıyla Facebook), şirketin uzlaşma kampanyalarının bir parçası olarak kullandığı Facebook ve Instagram’daki yaklaşık 300 hesabı kaldırmak için harekete geçtiğini açıkladı.
Chrome ve Android’de istismar edilen beş sıfırıncı gün kusurunun listesi aşağıdadır –
TAG’ye göre, söz konusu üç kampanyanın tümü, URL kısaltıcı hizmetlerini taklit eden tek seferlik bağlantılar içeren hedef odaklı kimlik avı e-postasıyla başladı. alan.
Lecigne ve Resell, “Kampanyalar sınırlıydı – her durumda, hedef sayısının onlarca kullanıcıda olduğunu değerlendiriyoruz,” dedi. “Bağlantı etkin değilse, kullanıcı doğrudan meşru bir web sitesine yönlendirildi.”
Araştırmacıların değerlendirmesine göre operasyonun nihai amacı, Predator’ı virüslü Android cihazlara yüklemek için bir öncü görevi gören Alien adlı bir kötü amaçlı yazılım dağıtmaktı.
Predator’dan süreçler arası iletişim (IPC) mekanizması üzerinden komutlar alan “basit” kötü amaçlı yazılım, ses kaydetmek, CA sertifikaları eklemek ve algılamadan kaçınmak için uygulamaları gizlemek üzere tasarlanmıştır.
Üç kampanyadan ilki Ağustos 2021’de gerçekleşti. Bir Samsung Galaxy S21 cihazında bir başlangıç noktası olarak Google Chrome’u kullanarak tarayıcıyı CVE-2021’den yararlanarak kullanıcı etkileşimi gerektirmeden Samsung İnternet tarayıcısına başka bir URL yüklemeye zorladı. 38000.
Bir ay sonra meydana gelen ve güncel bir Samsung Galaxy S10’a teslim edilen başka bir izinsiz giriş, güvenlik açığından kaçmak için CVE-2021-37973 ve CVE-2021-37976 kullanan bir açıklardan yararlanma zincirini içeriyordu. krom korumalı alan (Gizlilik Korumalı Alanı ile karıştırılmamalıdır), ayrıcalıkları yükseltmek ve arka kapıyı dağıtmak için ikinci bir istismardan yararlanmak için yararlanın.
Üçüncü kampanya – tam bir Android 0-gün istismarı – Ekim 2021’de, o sırada Chrome’un en son sürümünü çalıştıran güncel bir Samsung telefonda tespit edildi. Korumalı alandan kaçmak ve ayrıcalıklı işlemlere kötü amaçlı kod enjekte ederek sistemin güvenliğini aşmak için CVE-2021-38003 ve CVE-2021-1048 olmak üzere iki kusuru bir araya getirdi.
Google TAG, CVE-2021-1048’in Eylül 2020’de Linux çekirdeğinde düzeltilmiş olmasına rağmen, geçen yıla kadar Android’e geri aktarılmadığına dikkat çekti. düzeltmek güvenlik sorunu olarak işaretlenmedi.
Araştırmacılar, “Saldırganlar aktif olarak bu tür yavaş sabitlenen güvenlik açıklarını arıyor ve bunlardan yararlanıyor” dedi.
“Ticari gözetim endüstrisinin zararlı uygulamalarıyla mücadele etmek, tehdit istihbarat ekipleri, ağ savunucuları, akademik araştırmacılar ve teknoloji platformları arasında işbirliğini içeren sağlam ve kapsamlı bir yaklaşım gerektirecektir.”
