Em novembro do ano passado, o Google revelou a existência de uma fornecedora espanhola de spyware até então desconhecida chamada Variston. Agora, pesquisadores de segurança do Grupo de Análise de Ameaças (TAG) do Google dizem ter visto hackers, possivelmente ligados à monarquia absolutista dos Emirados Árabes Unidos, usando as ferramentas da Variston para vigiar/espionar dissidentes políticos, jornalista, diplomatas e cidadãos emiradenses. Relatório publicado nesta quarta-feira, 29, pelo TAG revela a existência de ataques que usavam o navegador Android nativo da Samsung, que é uma versão personalizada do Chromium.
Segundo os pesquisadores, os hackers exploram um conjunto de vulnerabilidades encadeadas e entregues por meio de links da web enviados uma única vez aos alvos por mensagem de texto. Das quatro vulnerabilidades na cadeia, duas eram de dia zero no momento do ataque, o que significa que não haviam sido relatadas ao fabricante do software e eram desconhecidas naquele momento, de acordo com postagem no blog do TAG.
Se um alvo clicasse nos links da web maliciosos, eles seriam direcionados para uma página de destino “idêntica à examinada na estrutura Heliconia desenvolvida pela Variston”. Ambas as campanhas usaram a mesma página de destino exata e única, disse o Google ao TechCrunch. Uma vez explorada, a vítima é infectada com “um pacote completo de spyware para Android” projetado para capturar dados de aplicativos de bate-papo e navegador, de acordo com a postagem.
“O operador que usa a cadeia de exploração para atingir os usuários dos Emirados Árabes Unidos pode ser um cliente ou parceiro da Variston ou, de outra forma, trabalhar em estreita colaboração com a fornecedora do spyware”, diz o post do blog.
Não está claro quem está por trás da campanha de hackers ou quem são as vítimas. Um porta-voz do Google disse ao TechCrunch que o TAG observou cerca de dez links maliciosos na web. Alguns dos links foram redirecionados para o StackOverflow após a exploração e podem ter sido os dispositivos de teste do invasor, disse o Google. O TAG disse que não estava claro quem estava por trás da campanha de hackers.
Ralf Wegener e Ramanan Jayaraman são os fundadores da Variston, de acordo com a Intelligence Online, site de notícias que cobre o setor de vigilância. Os dois possuíam metade da empresa cada um em 2018, de acordo com registros comerciais espanhóis.
Nenhum dos fundadores respondeu a um pedido de comentário. A Variston está sediada em Barcelona, Espanha. De acordo com registros de empresas na Itália, a Variston adquiriu a empresa italiana de pesquisa de dia zero Truel em 2018.
A campanha de hackers nos Emirados Árabes Unidos foi descoberta pelo Laboratório de Segurança da Anistia Internacional. Em um comunicado à imprensa, a Anistia disse que a campanha está ativa desde ao menos 2020 e tem como alvo telefones celulares e computadores. A Anistia disse que observou as explorações sendo entregues por uma rede de mais de mil domínios maliciosos, “incluindo domínios que falsificam sites de mídia em vários países”.
A organização também disse ter observado vestígios da campanha na Indonésia, Bielo-Rússia, Emirados Árabes Unidos e Itália, mas esses países “provavelmente representam apenas um pequeno subconjunto da campanha geral de ataque com base na natureza extensa da infraestrutura de ataque mais ampla”.
O Google também disse nesta quarta-feira que descobriu hackers explorando um bug de dia zero do iOS, corrigido em novembro, para implantar spyware remotamente nos dispositivos dos usuários. Os pesquisadores dizem que observaram invasores explorando uma falha de segurança como parte de uma cadeia de exploração visando proprietários de iPhone executando iOS 15.1 e mais antigos localizados na Itália, Malásia e Cazaquistão.
A falha foi encontrada no mecanismo do navegador WebKit que alimenta o Safari e outros aplicativos, e foi descoberta e relatada pela primeira vez por pesquisadores do TAG. A Apple corrigiu o bug em dezembro, confirmando na época que a empresa estava ciente de que a vulnerabilidade era explorada ativamente “contra versões do iOS lançadas antes do iOS 15.1”.
Veja isso
Governos europeus usam spyware ilegalmente, diz relatório
Europol diz ter removido spyware FluBot baseado em SMS
O Google também observou hackers explorando uma cadeia de três bugs do Android direcionados a dispositivos que executam um chip gráfico da ARM, incluindo um dia zero. O Google disse que o ARM lançou uma correção, mas vários fornecedores — incluindo Samsung, Xiaomi, Oppo e o próprio Google — não incorporaram o patch, resultando em “uma situação em que os invasores puderam explorar livremente o bug por vários meses”, disse o Google.
A descoberta dessas novas campanhas de hackers é “um lembrete de que a indústria de spyware comercial continua a prosperar”, diz o Google. “Mesmo fornecedores de sistemas de vigilância menores têm acesso a vulnerabilidades de dia zero, e os fornecedores que armazenam e usam essas falhas em segredo representam um risco grave para a internet.”
“Essas campanhas também podem indicar que explorações e técnicas estão sendo compartilhadas entre fornecedores de software de vigilância, permitindo a proliferação de ferramentas perigosas entre hackers”, diz o blog.
