Spyware

Le groupe d’analyse des menaces (TAG) de Google a pointé jeudi du doigt un développeur de logiciels espions nord-macédonien nommé Cytrox pour avoir développé des exploits contre cinq failles zero-day (aka 0-day), quatre dans Chrome et une dans Android, pour cibler les utilisateurs d’Android.

« Les exploits 0-day ont été utilisés parallèlement aux exploits n-day car les développeurs ont profité de la différence de temps entre le moment où certains bogues critiques ont été corrigés mais non signalés comme des problèmes de sécurité et le moment où ces correctifs ont été entièrement déployés dans l’écosystème Android », ont déclaré les chercheurs du TAG. Clément Lecigné et Christian Resell mentionné.

Cytrox aurait emballé les exploits et les aurait vendus à différents acteurs soutenus par le gouvernement situés en Égypte, en Arménie, en Grèce, à Madagascar, en Côte d’Ivoire, en Serbie, en Espagne et en Indonésie, qui, à leur tour, ont transformé les bogues en au moins trois campagnes différentes.

La société de surveillance commerciale est le fabricant de Prédateurun implant analogue à celui de Pegasus du groupe NSO, et est connu pour avoir développé des outils qui permettent à ses clients de pénétrer les appareils iOS et Android.

En décembre 2021, Meta Platforms (anciennement Facebook) a révélé qu’elle avait agi pour supprimer environ 300 comptes sur Facebook et Instagram que l’entreprise utilisait dans le cadre de ses campagnes de compromis.

Publicité

La liste des cinq failles zero-day exploitées dans Chrome et Android est ci-dessous –

Selon TAG, les trois campagnes en question ont commencé par un e-mail de harponnage contenant des liens uniques imitant des services de raccourcissement d’URL qui, une fois cliqués, redirigent les cibles vers un domaine escroc qui abandonne les exploits avant d’emmener la victime vers un domaine légitime. site.

« Les campagnes étaient limitées – dans chaque cas, nous évaluons le nombre de cibles à des dizaines d’utilisateurs », ont noté Lecigne et Resell. « Si le lien n’était pas actif, l’utilisateur était directement redirigé vers un site Web légitime. »

Le but ultime de l’opération, ont estimé les chercheurs, était de distribuer un logiciel malveillant appelé Alien, qui agit comme un précurseur pour charger Predator sur des appareils Android infectés.

Le malware « simple », qui reçoit des commandes de Predator via un mécanisme de communication inter-processus (IPC), est conçu pour enregistrer de l’audio, ajouter des certificats CA et masquer des applications pour échapper à la détection.

La Cyber-Sécurité

La première des trois campagnes a eu lieu en août 2021. Elle a utilisé Google Chrome comme point de départ sur un appareil Samsung Galaxy S21 pour forcer le navigateur à charger une autre URL dans le navigateur Internet Samsung sans nécessiter d’interaction de l’utilisateur en exploitant CVE-2021- 38000.

Une autre intrusion, qui s’est produite un mois plus tard et a été livrée à un Samsung Galaxy S10 à jour, impliquait une chaîne d’exploitation utilisant CVE-2021-37973 et CVE-2021-37976 pour échapper au Bac à sable chromé (à ne pas confondre avec Privacy Sandbox), en l’utilisant pour supprimer un deuxième exploit afin d’élever les privilèges et de déployer la porte dérobée.

La troisième campagne – un exploit complet d’Android 0-day – a été détectée en octobre 2021 sur un téléphone Samsung à jour exécutant la dernière version de Chrome. Il a combiné deux failles, CVE-2021-38003 et CVE-2021-1048, pour échapper au bac à sable et compromettre le système en injectant du code malveillant dans des processus privilégiés.

Google TAG a souligné que bien que CVE-2021-1048 ait été corrigé dans le noyau Linux en septembre 2020, il n’a été rétroporté sur Android que l’année dernière car le réparer n’a pas été marqué comme un problème de sécurité.

« Les attaquants recherchent activement et profitent de ces vulnérabilités à correction lente », ont déclaré les chercheurs.

« Lutter contre les pratiques néfastes de l’industrie de la surveillance commerciale nécessitera une approche solide et globale qui inclut la coopération entre les équipes de renseignement sur les menaces, les défenseurs des réseaux, les chercheurs universitaires et les plateformes technologiques. »

Rate this post
Publicité
Article précédentDevenez plus puissant que vous ne pouvez l’imaginer avec le dernier skin de Fortnite
Article suivantLes faux domaines proposent des programmes d’installation de Windows 11 – mais délivrent des logiciels malveillants à la place
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici