La firma desarrolladora de spyware Cytrox está bajo el radar de Google por desarrollar exploits contra cinco fallas de 0 DAY en Android y Chrome.
El jueves 19 de mayo, el Grupo de análisis de amenazas (TAG) de Google informó que el desarrollador/proveedor de spyware Cytrox había desarrollado exploits contra cinco vulnerabilidades de día cero para atacar a los usuarios de Android con spyware.
Según los detalles compartidos por TAG, los actores de amenazas están utilizando el
infame spyware Predator en tres campañas diferentes. Predator se analizó previamente en un informe del
Citizen Lab de la Universidad de Toronto.
0 días usados con n días para implementar spyware
Los exploits se desarrollan para cuatro Chrome 0-day y una falla de Android 0-day. En su publicación de blog, los investigadores de TAG, Clement Lecigne y Christian Resell, explicaron que los días 0 se usan junto con las vulnerabilidades de día n.
Además, los atacantes intentan beneficiarse de la diferencia de tiempo entre la aplicación de parches a algunos errores críticos, que no se declararon problemas de seguridad graves, y "cuando estos parches se implementaron por completo en todo el ecosistema de Android".
Detalles del software espía
Según Google, la empresa de vigilancia comercial Cytrox, con sede en Macedonia del Norte, empaquetó y vendió los exploits a diferentes actores de amenazas respaldados por el estado en Grecia, Egipto, Serbia, Madagascar, Indonesia, España, Costa de Marfil y Armenia.
Se alega que los compradores han utilizado estos errores en al menos tres campañas hasta el momento. El software espía Predator es similar al software espía Pegasus de NSO Group, lo que permite a los actores de amenazas penetrar en los dispositivos Android e iOS.
Acerca de las Tres Campañas usando Predator
TAG examinó tres campañas y concluyó que los atacantes envían direcciones URL únicas a los usuarios de Android a través de correos electrónicos de phishing selectivo. Estos enlaces se acortan utilizando un acortador de URL de uso común, mientras que los atacantes solo se dirigen a un puñado de víctimas. Cuando los usuarios hacen clic en esta URL maliciosa, son redirigidos a una página web maliciosa que implementa automáticamente los exploits y los redirige a un sitio web legítimo.
Una vez allí, los atacantes implementan el malware Alien Android que carga el Predator de Cytrox. En caso de que el enlace acortado no funcione, la víctima es llevada directamente al sitio web legítimo.
Lista de hazañas
Aquí está la lista de las fallas de 0 días explotadas por los atacantes en Chrome y Android:
Enlace al NSIT CVE-2021-1048
CVE-2021-37973 Informe del Instituto Nacional de Ciberseguridad Incibe
Enlace al NSI CVE-2021-37976
Enlace al NSIT CVE-2021-38000
Informe del Instituto Nacional de Ciberseguridad Incibe CVE-2021-38003
El objetivo principal de los atacantes detrás de esta operación es distribuir el malware Alien, que es un precursor para implementar el spyware Predator en los dispositivos infectados. Recibe comandos de Predator a través de un mecanismo IPC (comunicación entre procesos) y puede grabar audio, ocultar aplicaciones y agregar certificados de CA para evadir la detección.
La primera campaña se lanzó en agosto del año pasado en Google Chrome, dirigida al dispositivo Samsung Galaxy S21. Un mes después, la segunda campaña se centró en un Samsung Galaxy S10 actualizado, mientras que la tercera se detectó en octubre de 2021.
Pegasus vs. Predator mercenarios del malware
