谷歌：Predator 间谍软件使用零日漏洞感染 Android 设备

谷歌的威胁分析小组 (TAG) 表示，国家支持的威胁行为者使用五个零日漏洞来安装由商业监控开发商 Cytrox 开发的 Predator 间谍软件。

在这些攻击中，作为 2021 年 8 月至 2021 年 10 月之间开始的三个活动的一部分，攻击者使用针对 Chrome 和 Android 操作系统的零日漏洞利用在完全最新的 Android 设备上安装 Predator 间谍软件植入物。

Google TAG 成员 Clement Lecigne 和 Christian Resell 说：“我们高度自信地评估，这些漏洞是由一家商业监控公司 Cytrox 打包的，并出售给不同的政府支持的参与者，这些参与者至少在下面讨论的三个活动中使用了这些漏洞。” .

根据谷歌的分析，购买并使用这些漏洞利用间谍软件感染安卓目标的政府支持的恶意行为者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。

这些发现与CitizenLab 于 2021 年 12 月发布的关于 Cytrox 雇佣间谍软件的报告一致 ，当时其研究人员在流亡的埃及政治家 Ayman Nour 的电话中发现了该恶意工具。

Nour 的手机也感染了 NSO Group 的 Pegasus 间谍软件，根据 CitizenLab 的评估，这两种工具由两个不同的政府客户操作。

在针对 Android 用户的三个活动中利用零日漏洞

这些活动中使用的五个以前未知的 0-day 安全漏洞包括：

 Chrome中的 CVE- 2021-37973、  CVE-2021-37976、  CVE-2021-38000、  CVE-2021-38003 Android 中的 CVE-2021-1048

威胁参与者在三个不同的活动中部署了针对这些零日漏洞的攻击：

活动 #1 - 从 Chrome 重定向到 SBrowser (CVE-2021-38000)活动 #2 - Chrome 沙盒逃逸（CVE-2021-37973、CVE-2021-37976）活动 #3 - 完整的 Android 0 天漏洞利用链（CVE-2021-38003、CVE-2021-1048）

“所有三个活动都通过电子邮件向目标 Android 用户提供了模仿 URL 缩短服务的一次性链接。这些活动是有限的——在每种情况下，我们评估的目标数量都是几十个用户，” 谷歌 TAG 分析师补充道。

“单击后，该链接会将目标重定向到攻击者拥有的域，该域在将浏览器重定向到合法网站之前传递了漏洞。如果链接不活跃，则用户被直接重定向到合法网站。”

这种攻击技术也被用来对付被告知他们是 政府支持的攻击目标的记者和其他 Google 用户。

间谍软件植入物使用 Android 银行木马删除

在这些活动中，攻击者首先安装了 带有 RAT 功能的Android Alien 银行木马 ，用于加载 Predator Android 植入程序，允许录制音频、添加 CA 证书和隐藏应用程序。

本报告是 2021 年 7 月对 2021 年在 Chrome、Internet Explorer 和 WebKit (Safari) 中发现的其他四个 0 天漏洞的分析的后续报告。

正如 Google TAG 研究人员透露的那样，与俄罗斯外国情报局 (SVR) 有关联的俄罗斯支持的政府黑客利用 Safari 零日漏洞攻击 属于 西欧国家政府官员的 iOS 设备。

谷歌 TAG 周四补充说：“TAG 正在积极跟踪 30 多家供应商，这些供应商具有不同程度的复杂性和公开曝光，向政府支持的参与者出售漏洞或监视能力。”

原文来自: bleepingcomputer.com