Cyberbezpieczeństwo

Google: urządzenia z Androidem infekowano Predatorem wykorzystując luki zero-day

Fot. Moritz Erken / Unsplash

Urządzenia z Androidem infekowano oprogramowaniem szpiegowskim Predator poprzez wykorzystanie luk zero-day. Infekcje zlecane były przez podmioty pracujące na zlecenie rządowe - informuje zespół Threat Analysis Group (TAG) Google'a. Predator to jeden z systemów szpiegowskich zbliżonych możliwościami działania do słynnego narzędzia Pegasus.

Według TAG, część trzech kampanii z użyciem systemu Predator realizowana była pomiędzy sierpniem a październikiem ubiegłego roku. Atakujący wykorzystali w swoich działaniach podatności zero-day przeglądarki Chrome i systemu operacyjnego Android na urządzenia mobilne. Predatorem infekowano nawet te urządzenia, które były zaktualizowane do najnowszej wersji oprogramowania systemowego - czytamy w serwisie Bleeping Computer.

Różni aktorzy państwowi

Za wykorzystaniem systemu szpiegowskiego Predator mają stać różni aktorzy państwowi, którzy kupili go od firmy Cytrox, zajmującej się dostarczaniem oprogramowania szpiegowskiego na zasadach komercyjnego dostępu.

Według Google TAG, atakujący infekujący urządzenia z Androidem Predatorem pochodzą z krajów takich, jak Egipt, Armenia, Grecja, Madagaskar, Wybrzeże Kości Słoniowej, Serbia, Hiszpania i Indonezja.

Czytaj też

W ramach trzech kampanii wykorzystano trzy podatności przeglądarki Chrome. To luki rozpoznane pod nazwami kodowymi: CVE-2021-38000, CVE-2021-37973 i CVE-2021-37976. Skorzystano również z łańcucha podatności zero-day systemu Android, gdzie wykorzystano dwie luki: CVE-2021-38003 i CVE-2021-1048.

Jak infekowano Predatorem?

Schemat działania za każdym razem opierał się na skłonieniu ofiary do kliknięcia w link zmodyfikowany za pomocą skracacza URL, aby nie wyglądał podejrzanie. Według TAG, liczba osób, które były celem każdej z trzech kampanii, była bardzo ograniczona - każdorazowo mówimy jedynie (i aż) o dziesiątkach osób, nie zaś o setkach lub tysiącach, jak to najczęściej ma miejsce w przypadku masowych kampanii infekowania złośliwym oprogramowaniem.

Czytaj też

Według TAG, atakujący w pierwszej kolejności na telefonach ofiar instalowali trojana bankowego Alien z funkcją RAT pozwalającą na zdalną kontrolę urządzenia i wykonywanych na nim czynności. Dopiero później instalowany był implant Predatora na systemy Android.

Technika ta była według TAG wykorzystywana również przeciwko dziennikarzom oraz innym użytkownikom usług Google'a. Wszyscy oni zostali przez koncern poinformowani, iż mogą być ofiarami rządowej inwigilacji.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. $$

Komentarze

    Czytaj także