کاربران اندروید مورد حمله جاسوس‌افزار Predator Cytrox قرار گرفتند

به گزارش سیتنا، انگشت اشاره گروه تجزیه و تحلیل تهدیدات گوگل (TAG) به‌سمت توسعه‌دهنده نرم‌افزارهای جاسوسی مقدونیه شمالی به نام Cytrox است.

محققان TAG کریستیان رسل و کلمنت لسین اعلام کردند که بهره‌برداری‌های ناشناخته در کنار بهره‌برداری‌های نامحدود روزصفر، مورد استفاده قرار گرفتند، زیرا توسعه‌دهندگان از اختلاف زمانی بین زمانی که برخی از باگ‌های حیاتی برطرف می‌شدند باگ‌هایی که به‌عنوان مسائل امنیتی متمایز نشده‌اند و زمانی که این ایرادات به طور کامل در اکوسیستم اندروید مستقر شده بودند استفاده می‌کردند.

ادعا می‌شود که Cytrox این اکسپلویت‌ها را بسته‌بندی کرده و آن‌ها را به بازیگران متمایز تحت حمایت مقامات مستقر در مصر، ارمنستان، یونان، ماداگاسکار، ساحل عاج، صربستان، اسپانیا و اندونزی پیشنهاد داده است، که در مدت زمان کوتاهی حداقل توسط سه کمپین منحصر بفرد تبدیل به سلاح شده‌اند.

سازمان نظارت تجاری، سازنده نرم‌افزار شکارچی (Predator) است، ایمپلنتی مشابه ایمپلنت Pegasus و گروه NSO،  شناخته شده که تجهیزاتی تولید کرده است که مشتریان خود را قادر می‌سازد به محصولات iOS و Android نفوذ کنند.

در دسامبر 2021، Meta Platforms (فیسبوک سابق) فاش کرد که برای پاک کردن حدود 300 حساب کاربری در Fb و Instagram این شرکت، به‌عنوان بخشی از استراتژی‌های مصالحه خود استفاده می‌کرده است.

چک لیست پنج نقص ناشناخته مورد سوءاستفاده در گوگل کروم و اندروید در زیر آمده است:

CVE-2021-37973 - کاربرد- بلافاصله پس از شارژ رایگان در پورتال API

CVE-2021-37976  - نشت اطلاعات در هسته

CVE-2021-38000 -  اعتبار سنجی ناکافی ورود نامعتبر در Intent ها (ریشه باعث ارزیابی می شود)

CVE-2021-38003 -    پیاده سازی نامناسب در V هشت

CVE-2021-1048 – کاربرد - پس از کاربرد رایگان در هسته اندروید (ارزیابی القای روت)

مطابق با TAG، هر سه استراتژی در معضل با یک ایمیل فیشینگ نیزه‌ای شروع شد که حاوی لینک‌های یکبار مصرف تقلید از ارائه‌دهندگان کوتاه‌کننده URL بود که پس از کلیک کردن، اهداف را به منطقه‌ای فریبنده هدایت می‌کردند که قبل از اینکه قربانی را به یک سایت معتبر هدایت کند به دام  می‌انداختند.

لجین و ریسل خاطرنشان کردند: هر سناریوی جداگانه، ما تنوع اهداف را در ده‌ها کاربر ارزیابی می‌کنیم. "اگر اتصال معتبر نبود، کاربر بلافاصله به یک صفحه وب معتبر هدایت می‌شد."

دانشمندان ارزیابی کردند که هدف عالی این روش، توزیع بدافزاری به نام Alien بود که به عنوان پیش‌رو برای بارگذاری نرم‌افزار Predator روی تجهیزات اندرویدی آلوده، عمل می‌کند.

بدافزار «ساده» که دستورات را از Predator از طریق مکانیسم ارتباط بین فرآیندی (IPC) دریافت می‌کند، برای ضبط صدا، افزودن گواهی‌های CA و پنهان کردن برنامه‌ها برای فرار از شناسایی طراحی شده است.

اولین مورد گوگل کروم به عنوان یک مکان پرش در یک دستگاه  Samsung Galaxy S21 استفاده کرد تا مرورگر را برای بارگذاری URL بیشتر در مرورگر اینترنت سامسونگ بدون نیاز به مکالمه مشتری با استفاده از -2021-38000-CVE استفاده کند.

یک نفوذ دیگر، که سی روز بعد اتفاق افتاد و به یک گوشی جدید سامسونگ گلکسی اس 10 ارسال شد، شامل یک زنجیره اکسپلویت بود که با - 2021-37973 CVE و -2021-37976- CVE برای فرار از جعبه سندروم کروم کار می کرد ( با Privacy Sandbox اشتباه نگردد)، که از آن برای رها کردن اکسپلویت بعدی برای افزایش امتیازات و استقرار درب پشتی استفاده می‌کند.

سومین کمپین بازاریابی - یک سوء استفاده کامل در روز کاری اندروید - در اکتبر 2021 روی یک تلفن سامسونگ به روز که آخرین نسخه کروم را در آن زمان اجرا می کرد، شناسایی شد. در مجموع دارای دو نقص -2021-38003 CVE و -2021-1048 CVE بود تا از sandbox فرار کند و سیستم را با تزریق کد مخرب به فرآیندهای دارای امتیاز به خطر بیندازد.

Google TAG اشاره کرد که در حالی که -2021-1048 CVE در سپتامبر 2020 در هسته لینوکس از پیش تعیین شده بود، تا آخر سال به اندروید بکپورت نشد زیرا این اصلاح به عنوان یک مشکل امنیتی علامت گذاری نشده بود.

دانشمندان توضیح دادند که مهاجمان فعالانه به دنبال این نوع آسیب‌پذیری‌های کم‌کم از پیش تعیین‌شده هستند و از آنها سود می‌برند.

مقابله با رویه‌های ناامن در زمینه نظارت تجاری به یک تکنیک دقیق و مفصل نیاز دارد که شامل همکاری در میان تیم‌های اطلاعاتی خطر، مدافعان شبکه، دانشمندان آموزشی و پلت‌فرم‌های فناوری است.

انتهای پیام