El Grupo de Análisis de Amenazas (TAG) de Google descubrió varias cadenas de exploits que utilizaban vulnerabilidades de día cero y de día n de Android, iOS y Chrome para instalar spyware comercial y aplicaciones maliciosas en los dispositivos de los objetivos. Los atacantes se dirigieron a usuarios de iOS y Android con cadenas de exploits independientes como parte de una primera campaña detectada en noviembre de 2022. |
Utilizaban mensajes de texto con enlaces acortados en bit.ly para redirigir a las víctimas a sitios web legítimos de envíos desde Italia, Malasia y Kazajstán, tras enviarlas primero a páginas que activaban exploits que abusaban de un zero-day de ejecución remota de código WebKit de iOS (CVE-2022-42856) y de un fallo de escape de sandbox (CVE-2021-30900).
En los dispositivos iOS comprometidos, los atacantes soltaron una carga útil que les permitía rastrear la ubicación de las víctimas e instalar archivos .IPA.
Como parte de la misma campaña, también se utilizó una cadena de exploits de Android para atacar dispositivos con GPU ARM con un zero-day de desvío de sandbox de GPU de Chrome (CVE-2022-4135), un error de escalada de privilegios de ARM (CVE-2022-38181) y un error de confusión de tipo de Chrome (CVE-2022-3723) con una carga útil desconocida.
"Cuando ARM publicó una corrección para CVE-2022-38181, varios proveedores, incluidos Pixel, Samsung, Xiaomi, Oppo y otros, no incorporaron el parche, lo que dio lugar a una situación en la que los atacantes pudieron explotar libremente el fallo durante varios meses", dijo Clément Lecigne de Google TAG.
Segunda serie de ataques contra usuarios de Samsung
En diciembre de 2022 se descubrió una segunda campaña después de que los investigadores de Google TAG encontraran una cadena de exploits dirigida a versiones actualizadas del navegador de Internet de Samsung que utilizaba múltiples 0-days y n-days.
Los objetivos de los Emiratos Árabes Unidos (EAU) fueron redirigidos a páginas de exploits idénticas a las creadas por el proveedor de spyware mercenario Variston para su marco de explotación Heliconia y dirigidas a una larga lista de fallos, entre los que se incluyen:
- CVE-2022-4262 - Vulnerabilidad de confusión de tipo en Chrome (día cero en el momento de la explotación)
- CVE-2022-3038 - Evasión del sandbox de Chrome
- CVE-2022-22706 - Vulnerabilidad de Mali GPU Kernel Driver que proporciona acceso al sistema y parcheada en enero de 2022 (no solucionada en el firmware de Samsung en el momento de los ataques)
- CVE-2023-0266: vulnerabilidad del subsistema de sonido del kernel de Linux que proporciona acceso de lectura y escritura al kernel (día cero en el momento del ataque).
La cadena de exploits también utilizó varios días cero de fuga de información del kernel al explotar CVE-2022-22706 y CVE-2023-0266.
Al final, la cadena de exploits desplegó con éxito una suite de spyware basada en C++ para Android, completa con bibliotecas diseñadas para descifrar y extraer datos de numerosas aplicaciones de chat y navegador.
Ambas campañas fueron muy selectivas y los atacantes "aprovecharon el gran intervalo de tiempo entre la publicación de la solución y su despliegue completo en los dispositivos de los usuarios finales", afirma Lecigne.
"Estas campañas también pueden indicar que los proveedores de vigilancia comparten exploits y técnicas, lo que permite la proliferación de herramientas de pirateo peligrosas".
El descubrimiento de estas cadenas de exploits se produjo a raíz de los hallazgos compartidos por el Laboratorio de Seguridad de Amnistía Internacional, que también publicó información sobre los dominios y la infraestructura utilizados en los ataques.
"La campaña de spyware recién descubierta lleva activa al menos desde 2020 y se dirigía a dispositivos móviles y de escritorio, incluidos usuarios del sistema operativo Android de Google", ha añadido hoy Amnistía Internacional en otro informe.
"El spyware y los exploits de día cero se entregaron desde una extensa red de más de 1000 dominios maliciosos, incluidos dominios que suplantan sitios web de medios de comunicación en múltiples países."
Seguimiento de los proveedores de programas espía
Esto forma parte de un esfuerzo continuo por vigilar el mercado mercenario de software espía y rastrear las vulnerabilidades de día cero que están explotando para instalar sus herramientas en los dispositivos vulnerables de activistas políticos y de derechos humanos, periodistas, políticos y otros usuarios de alto riesgo en todo el mundo.
Google declaró en mayo de 2022 que estaba realizando un seguimiento activo de más de 30 proveedores con niveles variables de exposición pública y sofisticación conocidos por vender capacidades de vigilancia o exploits a los atacantes patrocinados por gobiernos de todo el mundo.
En noviembre de 2022, investigadores de Google TAG revelaron que había vinculado un marco de exploits conocido como Heliconia y dirigido a vulnerabilidades de Chrome, Firefox y Microsoft Defender a la empresa española de software informático Variston IT.
En junio de 2022, algunos proveedores de servicios de Internet (ISP) ayudaron al proveedor italiano de software espía RCS Labs a infectar los dispositivos de usuarios de Android e iOS en Italia y Kazajistán con herramientas comerciales de vigilancia, según Google.
Un mes antes, Google TAG sacó a la luz otra campaña de vigilancia en la que atacantes patrocinados por el Estado aprovecharon cinco días cero para instalar el programa espía Predator, desarrollado por Cytrox.