谷歌:Predator 间谍软件使用零日漏洞感染 Android 设备

admin 2022年5月24日17:01:09安全新闻评论17 views1711字阅读5分42秒阅读模式

更多全球网络安全资讯尽在邑安全

谷歌:Predator 间谍软件使用零日漏洞感染 Android 设备

谷歌的威胁分析小组 (TAG) 表示,国家支持的威胁行为者使用五个零日漏洞来安装由商业监控开发商 Cytrox 开发的 Predator 间谍软件。

在这些攻击中,作为 2021 年 8 月至 2021 年 10 月之间开始的三个活动的一部分,攻击者使用针对 Chrome 和 Android 操作系统的零日漏洞利用在完全最新的 Android 设备上安装 Predator 间谍软件植入物。

Google TAG 成员 Clement Lecigne 和 Christian Resell 说:“我们高度自信地评估,这些漏洞是由一家商业监控公司 Cytrox 打包的,并出售给不同的政府支持的参与者,这些参与者至少在下面讨论的三个活动中使用了这些漏洞。” .

根据谷歌的分析,购买并使用这些漏洞利用间谍软件感染安卓目标的政府支持的恶意行为者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。

这些发现与CitizenLab 于 2021 年 12 月发布的关于 Cytrox 雇佣间谍软件的报告一致 ,当时其研究人员在流亡的埃及政治家 Ayman Nour 的电话中发现了该恶意工具。

Nour 的手机也感染了 NSO Group 的 Pegasus 间谍软件,根据 CitizenLab 的评估,这两种工具由两个不同的政府客户操作。

在针对 Android 用户的三个活动中利用零日漏洞

这些活动中使用的五个以前未知的 0-day 安全漏洞包括:

 Chrome中的 CVE- 2021-37973、  CVE-2021-37976、  CVE-2021-38000、  CVE-2021-38003 Android 中的 CVE-2021-1048

威胁参与者在三个不同的活动中部署了针对这些零日漏洞的攻击:

活动 #1 - 从 Chrome 重定向到 SBrowser (CVE-2021-38000)活动 #2 - Chrome 沙盒逃逸(CVE-2021-37973、CVE-2021-37976)活动 #3 - 完整的 Android 0 天漏洞利用链(CVE-2021-38003、CVE-2021-1048)

“所有三个活动都通过电子邮件向目标 Android 用户提供了模仿 URL 缩短服务的一次性链接。这些活动是有限的——在每种情况下,我们评估的目标数量都是几十个用户,” 谷歌 TAG 分析师补充道

“单击后,该链接会将目标重定向到攻击者拥有的域,该域在将浏览器重定向到合法网站之前传递了漏洞。如果链接不活跃,则用户被直接重定向到合法网站。”

这种攻击技术也被用来对付被告知他们是 政府支持的攻击目标的记者和其他 Google 用户。

谷歌:Predator 间谍软件使用零日漏洞感染 Android 设备

间谍软件植入物使用 Android 银行木马删除

在这些活动中,攻击者首先安装了 带有 RAT 功能的Android Alien 银行木马 ,用于加载 Predator Android 植入程序,允许录制音频、添加 CA 证书和隐藏应用程序。

本报告是 2021 年 7 月对 2021 年在 Chrome、Internet Explorer 和 WebKit (Safari) 中发现的其他四个 0 天漏洞的分析的后续报告。

正如 Google TAG 研究人员透露的那样,与俄罗斯外国情报局 (SVR) 有关联的俄罗斯支持的政府黑客利用 Safari 零日漏洞攻击 属于 西欧国家政府官员的 iOS 设备。

谷歌 TAG 周四补充说:“TAG 正在积极跟踪 30 多家供应商,这些供应商具有不同程度的复杂性和公开曝光,向政府支持的参与者出售漏洞或监视能力。”

原文来自: bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/google-predator-spyware-infected-android-devices-using-zero-days/

欢迎收藏并分享朋友圈,让五邑人网络更安全

谷歌:Predator 间谍软件使用零日漏洞感染 Android 设备

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):谷歌:Predator 间谍软件使用零日漏洞感染 Android 设备

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日17:01:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  谷歌:Predator 间谍软件使用零日漏洞感染 Android 设备 http://cn-sec.com/archives/1045527.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: