O Grupo de Análise de Ameaças (TAG) do Google descobriu várias cadeias de exploração usando vulnerabilidades de dia zero e dia n do Android, iOS e Chrome para instalar spyware e aplicativos maliciosos nos dispositivos dos alvos. Dia n ou n-day é uma vulnerabilidade explorada nos dias seguintes à sua divulgação pública.
Os invasores visaram usuários do iOS e do Android com cadeias de exploração separadas como parte de uma primeira campanha detectada em novembro do ano passado. Eles usaram mensagens de texto impulsionando links abreviados bit.ly para redirecionar as vítimas para sites de remessas legítimos da Itália, Malásia e Cazaquistão depois de enviá-los para páginas que desencadeiam exploits explorando uma execução remota de código iOS WebKit de dia zero (CVE-2022-42856) e um bug de escape de sandbox (CVE-2021-30900).
Em dispositivos iOS comprometidos, os operadores de ameaças lançaram uma carga que lhes permitiu rastrear a localização das vítimas e instalar arquivos .IPA. Como parte da mesma campanha, uma cadeia de exploração do Android também foi usada para atacar dispositivos com unidades de processamento gráfico(GPUs) ARM com um desvio de sandbox de GPU do Chrome de dia zero (CVE-2022-4135), um bug de escalonamento de privilégio ARM (CVE-2022-38181) e um bug de confusão de tipo no Chrome (CVE-2022-3723) com uma carga desconhecida.
“Quando a ARM lançou uma correção para o CVE-2022-38181, vários fornecedores, incluindo Pixel, Samsung, Xiaomi, Oppo e outros, não incorporaram o patch, resultando em uma situação em que os invasores puderam explorar livremente o bug por vários meses”, disse Clément Lecigne, do TAG do Google, ao BleepingComputer.
Uma segunda campanha foi detectada em dezembro do ano passado, depois que os pesquisadores do Google encontraram uma cadeia de exploração visando versões atualizadas do navegador de internet Samsung usando vários dias zero e dias-n.
Os alvos dos Emirados Árabes Unidos foram redirecionados para explorar páginas idênticas às criadas pela fornecedora espanhola de spyware Variston para sua estrutura de exploração Heliconia e visando uma longa lista de falhas, incluindo:
- CVE-2022-4262 – vulnerabilidade de confusão de tipo no Chrome (dia zero no momento da exploração);
- CVE-2022-3038 – fuga da sandbox do Chrome;
- CVE-2022-22706 – vulnerabilidade do driver do kernel da GPU do Mali que fornece acesso ao sistema, corrigida em janeiro de 2022 (não abordada no firmware da Samsung no momento dos ataques);
- CVE-2023-0266 – vulnerabilidade de condição de corrida do subsistema de som do kernel Linux que fornece acesso de leitura e gravação ao kernel (dia zero no momento da exploração).
Veja isso
Anúncios do Google são usados para distribuir malware
Dia zero: Microsoft, Google e Apple são os alvos nº 1 de hackers
A cadeia de exploração também usou vários dias zero de vazamento de informações do kernel ao explorar o CVE-2022-22706 e o CVE-2023-0266. No final, a cadeia de exploração implantou com sucesso um conjunto de spyware baseado em C++ para Android, completo com bibliotecas projetadas para descriptografar e extrair dados de vários aplicativos de bate-papo e navegador.
Ambas as campanhas foram altamente direcionadas e os invasores “aproveitaram o grande intervalo de tempo entre o lançamento da correção e quando ela foi totalmente implantada nos dispositivos do usuário final”, disse Lecigne. “Essas campanhas também podem indicar que explorações e técnicas estão sendo compartilhadas entre fornecedores de vigilância, permitindo a proliferação de ferramentas perigosas de hackers.”
A divulgação dessas cadeias de exploração foi motivada por descobertas compartilhadas pelo laboratório de segurança da Anistia Internacional, que também publicou informações sobre domínios e infraestrutura usados nos ataques. “A recém-descoberta campanha de spyware está ativa desde ao menos 2020 e tem como alvo dispositivos móveis e de desktop, incluindo usuários do sistema operacional Android do Google”, acrescentou a Anistia Internacional em um relatório separado nesta quinta-feira, 30.