Home Smartphones Vulnérabilités groupées Android Zero-Day utilisées pour les attaques de cybersurveillance

Vulnérabilités groupées Android Zero-Day utilisées pour les attaques de cybersurveillance

by Emmanuel Bonnet


Une société de surveillance commerciale précédemment dénoncée pour avoir vendu un service de logiciel espion appelé « Predator » continue de cibler les utilisateurs et utilise des exploits zero-day pour compromettre les téléphones Android. En savoir plus sur la façon de vous en protéger.

Image : Marcos Silva/Adobe Stock

UN Nouveau Le rapport du Google Threat Analysis Group expose l’utilisation de cinq vulnérabilités zero-day différentes ciblant le navigateur Chrome et les systèmes d’exploitation Android.

Bas

Google évalue avec une grande confiance que ces exploits ont été emballés par une seule société de surveillance commerciale appelée Cytrox.

Cytrox est une société nord-macédonienne avec des bases en Israël et en Hongrie qui a été exposé fin 2021 pour avoir été la société de développement et de maintenance d’un logiciel espion appelé « Predator ». cible aussi exposé cette société, parmi 6 autres sociétés qui fournissent des services de surveillance sous contrat, et a pris des mesures à leur encontre, les interdisant de leurs services tout en alertant les cibles suspectes d’éventuelles compromissions. Meta a supprimé 300 comptes Facebook et Instagram liés à Cytrox.

Une nouvelle étude de Google explique que Cytrox vend ces nouveaux exploits à des acteurs soutenus par le gouvernement, qui les ont ensuite utilisés dans trois campagnes d’attaque différentes. Les joueurs qui ont acheté les services de Cytrox sont situés en Égypte, en Arménie, en Grèce, à Madagascar, en Côte d’Ivoire, en Serbie, en Espagne et en Indonésie.

REGARDER: Politique de sécurité des appareils mobiles (TechRepublic Premium)

Trois campagnes en cours emballant les exploits

Les trois campagnes exposées par l’équipe Google TAG commencent par la livraison de liens dans le temps qui imitent les services de raccourcissement d’URL. Ceux-ci sont envoyés aux utilisateurs cibles d’Android par e-mail. Une fois cliqué, le lien dirigeait la cible sans méfiance vers un domaine appartenant à l’attaquant qui livrait les exploits avant d’afficher un site Web légitime à la cible.

La charge utile finale, appelée ALIEN, est un simple malware Android utilisé pour charger et exécuter PREDATOR, le malware de prédilection de Cytrox.

En termes de ciblage, les trois campagnes étaient faibles, ce qui signifie que chaque campagne ne ciblait que quelques dizaines d’utilisateurs.

Première campagne : Exploits CVE-2021-38000

Cette campagne, découverte en août 2021, ciblait Chrome sur un smartphone Samsung Galaxy. Le lien envoyé par les attaquants, une fois ouvert avec Chrome, a conduit à un abus de faille logique qui a forcé Chrome à charger une autre URL dans le navigateur de Samsung, qui exécutait une version plus ancienne et vulnérable de Chromium.

Que vulnérabilité Il a probablement été exploité car les attaquants n’avaient pas d’exploits pour la version de Chrome sur ce téléphone (91.0.4472). Selon Google, il a été vendu par un courtier d’exploitation et probablement abusé par divers fournisseurs de surveillance.

Deuxième campagne : Chrome Sandbox

Comme pour la première campagne, cette deuxième campagne ciblait également un Samsung Galaxy. Le téléphone était entièrement à jour et exécutait la dernière version de Chrome. L’analyse de l’exploit a identifié deux vulnérabilités Chrome différentes, CVE-2021-37973 Oui CVE-2021-37976.

Une fois l’échappement du bac à sable réussi, l’exploit a téléchargé un autre exploit pour élever les privilèges des utilisateurs et installer l’implant. Impossible d’obtenir une copie de l’exploit.

Troisième campagne : exploitation complète du jour zéro Android

Cette campagne détectée en octobre 2021 a déclenché un exploit de chaîne complète à partir d’un smartphone Samsung mis à jour exécutant à nouveau la dernière version de Chrome.

Deux exploits zero-day ont été utilisés, CVE-2021-38003 Oui CVE-2021-1048pour permettre aux attaquants d’installer leur charge utile finale.

Problème de patch soulevé

CVE-2021-1048, qui permet à un attaquant de s’échapper du bac à sable Chrome et de compromettre le système en injectant du code dans des processus privilégiés, a été corrigé dans le noyau Linux en septembre 2020, environ un an avant la campagne d’attaque découverte par Google.

La confirmation de cette vulnérabilité n’a pas été signalée comme un problème de sécurité, ce qui a entraîné la non-prise en charge du correctif sur la plupart des noyaux Android. Un an après le correctif, tous les cœurs Samsung étaient vulnérables et probablement de nombreuses autres marques de smartphones Android ont également été affectées. Les noyaux LTS exécutés sur les téléphones Pixel étaient assez récents et incluaient le correctif de la vulnérabilité.

Google souligne que ce n’est pas la première fois qu’un incident de ce type se produit et mentionne un autre exemple sur mauvais dossier vulnérabilité en 2019.

Ce problème de sauvegarde de quelques correctifs est rentable pour les attaquants qui recherchent activement des vulnérabilités lentes à corriger.

Plus que du Cytrox dans la nature

Google déclare qu’il suit actuellement plus de 30 fournisseurs avec différents niveaux de sophistication et d’exposition publique vendant des exploits ou des capacités de surveillance à des acteurs soutenus par le gouvernement et continuera de mettre à jour la communauté au fur et à mesure que de telles campagnes sont découvertes.

Ces types d’entités commerciales ont souvent des structures de propriété complexes, un changement de marque rapide et des alliances avec des partenaires financiers qui les rendent difficiles à enquêter, mais leurs logiciels espions peuvent toujours être détectés sur les réseaux d’entreprise.

Comment se protéger de cette menace ?

Les menaces sur les téléphones Android sont plus difficiles à détecter que sur les ordinateurs portables car les smartphones manquent souvent de sécurité par rapport aux ordinateurs.

Pour commencer, le système d’exploitation et toutes les applications doivent toujours être à jour et corrigés.

Des outils de sécurité doivent être mis en œuvre sur les smartphones et l’installation d’applications inutiles sur les appareils doit être interdite, de même que l’installation d’applications tierces provenant de sources non fiables doit être interdite.

Les autorisations de chaque application doivent être vérifiées avec soin, en particulier lors de l’installation d’une nouvelle. Les utilisateurs doivent être très prudents lors de l’installation d’applications qui demandent des droits pour manipuler des SMS ou enregistrer de l’audio, ce qui peut être un signe avant-coureur de logiciels espions.

Divulgation : Je travaille pour Trend Micro, mais les opinions exprimées dans cet article sont les miennes.

Related Posts

Leave a Comment