El Grupo de An\u00e1lisis de Amenazas (TAG) de Google se\u00f1al\u00f3 el jueves a un desarrollador de spyware de Macedonia del Norte llamado Cytrox por desarrollar exploits contra cinco fallas de d\u00eda cero (tambi\u00e9n conocidas como d\u00eda 0), cuatro en Chrome y una en Android, para apuntar a los usuarios de Android.<\/p>\n
“Los exploits de d\u00eda cero se utilizaron junto con los de d\u00eda n, ya que los desarrolladores aprovecharon la diferencia de tiempo entre el momento en que se parchearon algunos errores cr\u00edticos pero no se marcaron como problemas de seguridad y cuando estos parches se implementaron por completo en el ecosistema de Android”, dijeron los investigadores de TAG. Cl\u00e9ment Lecigne y Christian Resell dicho<\/a>.<\/p>\n Se alega que Cytrox empaquet\u00f3 los exploits y los vendi\u00f3 a diferentes actores respaldados por el gobierno ubicados en Egipto, Armenia, Grecia, Madagascar, Costa de Marfil, Serbia, Espa\u00f1a e Indonesia, quienes, a su vez, armaron los errores en al menos Tres campa\u00f1as diferentes.<\/p>\n La empresa de vigilancia comercial es el fabricante de Depredador<\/a>un implante an\u00e1logo<\/a> al de Pegasus de NSO Group, y se sabe que ha desarrollado herramientas que permiten a sus clientes acceder a los dispositivos iOS y Android.<\/p>\n En diciembre de 2021, Meta Platforms (anteriormente Facebook) revel\u00f3 que hab\u00eda actuado para eliminar aproximadamente 300 cuentas en Facebook e Instagram que la empresa usaba como parte de sus campa\u00f1as de compromiso.<\/p>\n La lista de las cinco fallas de d\u00eda cero explotadas en Chrome y Android est\u00e1 a continuaci\u00f3n:<\/p>\n Seg\u00fan TAG, las tres campa\u00f1as en cuesti\u00f3n comenzaron con un correo electr\u00f3nico de phishing selectivo que conten\u00eda enlaces de un solo uso que imitaban los servicios de acortadores de URL que, una vez que se hac\u00eda clic, redirig\u00edan a los objetivos a un dominio falso que elimin\u00f3 las vulnerabilidades antes de llevar a la v\u00edctima a un sitio leg\u00edtimo. sitio.<\/p>\n “Las campa\u00f1as fueron limitadas; en cada caso, evaluamos que la cantidad de objetivos era de decenas de usuarios”, se\u00f1alaron Lecigne y Resell. “Si el enlace no estaba activo, el usuario era redirigido directamente a un sitio web leg\u00edtimo”.<\/p>\n El objetivo final de la operaci\u00f3n, evaluaron los investigadores, era distribuir un malware llamado Alien, que act\u00faa como un precursor para cargar Predator en dispositivos Android infectados.<\/p>\n El malware “simple”, que recibe comandos de Predator a trav\u00e9s de un mecanismo de comunicaci\u00f3n entre procesos (IPC), est\u00e1 dise\u00f1ado para grabar audio, agregar certificados de CA y ocultar aplicaciones para evadir la detecci\u00f3n.<\/p>\n La primera de las tres campa\u00f1as tuvo lugar en agosto de 2021. Us\u00f3 Google Chrome como punto de partida en un dispositivo Samsung Galaxy S21 para obligar al navegador a cargar otra URL en el navegador de Internet de Samsung sin necesidad de interacci\u00f3n del usuario mediante la explotaci\u00f3n de CVE-2021- 38000.<\/p>\n Otra intrusi\u00f3n, que ocurri\u00f3 un mes despu\u00e9s y se entreg\u00f3 a un Samsung Galaxy S10 actualizado, involucr\u00f3 una cadena de exploits que usaba CVE-2021-37973 y CVE-2021-37976 para escapar del Caja de arena cromada<\/a> (que no debe confundirse con Privacy Sandbox), aprovech\u00e1ndolo para eliminar un segundo exploit para aumentar los privilegios e implementar la puerta trasera.<\/p>\n La tercera campa\u00f1a, un exploit de d\u00eda cero completo de Android, se detect\u00f3 en octubre de 2021 en un tel\u00e9fono Samsung actualizado que ejecutaba la \u00faltima versi\u00f3n de Chrome. Enlaz\u00f3 dos fallas, CVE-2021-38003 y CVE-2021-1048, para escapar de la zona de pruebas y comprometer el sistema al inyectar c\u00f3digo malicioso en procesos privilegiados.<\/p>\n Google TAG se\u00f1al\u00f3 que si bien CVE-2021-1048 se corrigi\u00f3 en el kernel de Linux en septiembre de 2020, no se retroport\u00f3 a Android hasta el a\u00f1o pasado como el arreglar<\/a> no se marc\u00f3 como un problema de seguridad.<\/p>\n “Los atacantes buscan activamente y se benefician de vulnerabilidades que se solucionan lentamente”, dijeron los investigadores.<\/p>\n “Hacer frente a las pr\u00e1cticas nocivas de la industria de la vigilancia comercial requerir\u00e1 un enfoque s\u00f3lido e integral que incluya la cooperaci\u00f3n entre los equipos de inteligencia de amenazas, los defensores de la red, los investigadores acad\u00e9micos y las plataformas tecnol\u00f3gicas”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n