Pesquisadores de segurança do Threat Analysis Group (TAG) do Google publicaram recentemente um relatório sobre uma campanha de spyware detalhando como os usuários de smartphones Android em todo o mundo foram alvos de um novo malware chamado “PREDATOR”.
De acordo com o relatório, os agentes de ameaças costumavam espalhar o PREDATOR por meio de outro malware móvel chamado ALIEN, que foi um precursor da implantação do spyware PREDATOR em dispositivos comprometidos.
Ele recebeu comandos do PREDATOR sobre IPC (comunicação entre processos), que incluíam gravação de áudio, ocultação de certificados de CA e ocultação de aplicativos para escapar da detecção.
A equipe da TAG disse que o malware PREDATOR foi desenvolvido por uma empresa de vigilância comercial, Cytrox, na Macedônia do Norte, que explorou cinco vulnerabilidades de dia zero, quatro no Chrome e uma no Android, para atingir usuários do Android.
As cinco vulnerabilidades de dia zero distintas exploradas pelos invasores foram:
CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 no Chrome CVE-2021-1048 no Android
“As explorações de dia 0 foram usadas juntamente com explorações de dia n, pois os desenvolvedores aproveitaram a diferença de tempo entre quando alguns bugs críticos foram corrigidos, mas não sinalizados como problemas de segurança, e quando esses patches foram totalmente implantados no ecossistema Android”, disse TAG pesquisadores Clement Lecigne e Christian Resell.
De acordo com a equipe da TAG, a Cytrox vendeu o spyware para diferentes atores apoiados pelo governo que os usaram em pelo menos três campanhas iniciadas entre agosto e outubro de 2021.
As façanhas foram usadas por atores apoiados pelo governo no Egito, Armênia, Grécia, Madagascar, Costa do Marfim, Sérvia, Espanha e Indonésia.
As três campanhas que usaram as cinco vulnerabilidades de dia zero do Chrome e do Android anteriormente desconhecidas são:
Campanha nº 1 – redirecionando para o SBrowser do Chrome (CVE-2021-38000) Campanha nº 2 – Escape da sandbox do Chrome (CVE-2021-37973, CVE-2021-37976) Campanha nº 3 – Cadeia de exploração completa de 0 dias do Android (CVE- 2021-38003, CVE-2021-1048)
Todas as três campanhas forneceram links únicos que imitam os serviços de encurtador de URL para os usuários do Android direcionados por e-mail. Uma vez clicado, ele redirecionava a vítima para um domínio de propriedade do invasor que instalou o vírus Android chamado ALIEN.
Em seguida, ele começou a carregar sua carga útil principal, ‘PREDATOR’ no dispositivo da vítima, antes de redirecionar o navegador para um site legítimo. Caso o link encurtado não funcionasse, a vítima era levada diretamente ao site legítimo.
Este método já foi usado contra jornalistas, ativistas políticos, funcionários, etc.
Embora as vulnerabilidades usadas durante as campanhas tenham sido corrigidas pelo Google em 2021, elas ainda não foram totalmente implantadas no ecossistema Android. De acordo com a equipe da TAG, a campanha ainda não acabou e mais ataques são esperados.
Aparentemente, existem mais de 30 fornecedores com níveis variados de sofisticação e exposição pública que estão vendendo explorações ou recursos de vigilância para atores apoiados pelo governo.
Para se manter protegido contra essas ameaças, é aconselhável instalar regularmente atualizações de software em seu smartphone Android.
Evite abrir e-mails de fontes desconhecidas, exclua-os imediatamente para evitar abrir a mensagem acidentalmente no futuro, não baixe nenhum anexo que acompanha a mensagem e nunca clique nos links que aparecem na mensagem.
