Grup Analisis Ancaman Google (TAG) pada hari Kamis menunjuk jari ke pengembang spyware Makedonia Utara bernama Cytrox untuk mengembangkan eksploitasi terhadap lima kelemahan zero-day (alias 0-hari), empat di Chrome dan satu di Android, untuk menargetkan pengguna Android.
“Eksploitasi 0-hari digunakan bersama eksploit n-hari karena pengembang memanfaatkan perbedaan waktu antara saat beberapa bug kritis ditambal tetapi tidak ditandai sebagai masalah keamanan dan saat tambalan ini diterapkan sepenuhnya di seluruh ekosistem Android,” peneliti TAG Clement Lecigne dan Christian Resell berkata.
Cytrox diduga telah mengemas eksploitasi dan menjualnya ke berbagai aktor yang didukung pemerintah yang berlokasi di Mesir, Armenia, Yunani, Madagaskar, Pantai Gading, Serbia, Spanyol, dan Indonesia, yang, pada gilirannya, mempersenjatai bug setidaknya di tiga kampanye yang berbeda.
Perusahaan pengawasan komersial adalah pembuat Predator, implan yang analog dengan Pegasus NSO Group, dan diketahui telah mengembangkan alat yang memungkinkan kliennya menembus perangkat iOS dan Android.
Pada bulan Desember 2021, Meta Platforms (sebelumnya Facebook) mengungkapkan bahwa mereka telah bertindak untuk menghapus sekitar 300 akun di Facebook dan Instagram yang digunakan perusahaan sebagai bagian dari kampanye komprominya.
Daftar lima kelemahan zero-day yang dieksploitasi di Chrome dan Android ada di bawah ini –
Menurut TAG, ketiga kampanye tersebut dimulai dengan email spear-phishing yang berisi tautan satu kali yang meniru layanan penyingkat URL yang, setelah diklik, mengarahkan target ke domain jahat yang menghapus eksploitasi sebelum membawa korban ke tempat yang sah. lokasi.
“Kampanye terbatas — dalam setiap kasus, kami menilai jumlah target mencapai puluhan pengguna,” kata Lecigne dan Resell. “Jika tautannya tidak aktif, pengguna diarahkan langsung ke situs web yang sah.”
Tujuan akhir dari operasi tersebut, para peneliti menilai, adalah untuk mendistribusikan malware yang dijuluki Alien, yang bertindak sebagai pendahulu untuk memuat Predator ke perangkat Android yang terinfeksi.
Malware “sederhana”, yang menerima perintah dari Predator melalui mekanisme komunikasi antar proses (IPC), direkayasa untuk merekam audio, menambahkan sertifikat CA, dan menyembunyikan aplikasi untuk menghindari deteksi.
Kampanye pertama dari tiga kampanye berlangsung pada Agustus 2021. Kampanye ini menggunakan Google Chrome sebagai titik awal pada perangkat Samsung Galaxy S21 untuk memaksa browser memuat URL lain di browser Internet Samsung tanpa memerlukan interaksi pengguna dengan memanfaatkan CVE-2021- 38000.
Intrusi lain, yang terjadi sebulan kemudian dan dikirimkan ke Samsung Galaxy S10 terbaru, melibatkan rantai eksploitasi menggunakan CVE-2021-37973 dan CVE-2021-37976 untuk keluar dari kotak pasir Chrome (jangan dikelirukan dengan Privasi Sandbox), memanfaatkannya untuk menjatuhkan exploit kedua untuk meningkatkan hak istimewa dan menerapkan pintu belakang.
Kampanye ketiga — eksploitasi Android 0 hari penuh — terdeteksi pada Oktober 2021 di ponsel Samsung terbaru yang menjalankan Chrome versi terbaru. Itu menyatukan dua kelemahan, CVE-2021-38003 dan CVE-2021-1048, untuk keluar dari kotak pasir dan membahayakan sistem dengan menyuntikkan kode berbahaya ke dalam proses istimewa.
Google TAG menunjukkan bahwa sementara CVE-2021-1048 diperbaiki di kernel Linux pada September 2020, itu tidak di-backport ke Android sampai tahun lalu karena perbaikan itu tidak ditandai sebagai masalah keamanan.
“Penyerang secara aktif mencari dan mengambil untung dari kerentanan yang diperbaiki secara perlahan,” kata para peneliti.
“Menangani praktik berbahaya dari industri pengawasan komersial akan membutuhkan pendekatan yang kuat dan komprehensif yang mencakup kerja sama di antara tim intelijen ancaman, pembela jaringan, peneliti akademis, dan platform teknologi.”