Поставщики коммерческих шпионских программ стали активно эксплуатировать целую серию уязвимостей в устройствах на базе Android и iOS

Эксперты группы анализа киберугроз Google (TAG) сообщили, что поставщики коммерческих шпионских программ стали активно эксплуатировать целую серию уязвимостей в устройствах на базе Android и iOS.

Сами уязвимости были устранены еще в 2022 г., однако между выпуском патчей и реальной установкой их на конечные устройства обыкновенно проходит какое-то время, чем и пользуются и разработчики шпионских программ и их непосредственные пользователи.

В публикации TAG указывается, что речь идет об «опасных хакерских инструментах, которыми вооружают правительства, не обладающие самостоятельным потенциалом для разработки подобных средств».

«В то время как использование средств слежения может быть законным в соответствии с национальным и международным правом, чаще всего власти применяют их для атак на диссидентов, журналистов, правозащитников и представителей оппозиционных партий», — отметил сотрудник TAG Клеман Лесинь (Clement Lecigne).

Первая из двух известных операций состоялась в ноябре 2022 г, пишут в CNews. Она была узконаправленной; первичным вектором заражения были SMS-сообщения, отправленные пользователям в Италии, Малайзии и Казахстане. В этих сообщениях содержались сокращенные ссылки, перенаправлявшие пользователя на вредоносную страницу с эксплойтами для уязвимостей в Android и iOS, затем пользователя снова перебрасывали на легитимные новостные сайты или на ресурсы для отслеживания почтовых отправлений.

Цепочка эксплойтов для iOS включала вредоносы к уязвимостям CVE-2022-42856 (на тот момент она была еще неизвестна Apple), CVE-2021-30900 и уязвимость обхода криптографической подписи PAC (pointer authentication code). Через эти уязвимости устанавливался архивный файл .IPA, содержавший шпионские вредоносы.

Цепочка эксплойтов к Android включала три уязвимости CVE-2022-3723, CVE-2022-38181 и CVE-2022-4135 — уязвимость нулевого дня на момент эксплуатации.

CVE-2022-38181 — уязвимость, позволяющая повышать привилегии в драйверах ядра GPU Mali, была исправлена компанией Arm в августе 2022 г. Был ли в распоряжении злоумышленников эксплойт к ней до выпуска обновлений, неизвестно.

Любопытно, что пользователи Android, пытавшиеся открыть предлагаемую ссылку в браузере Samsung Internet Browser, принудительно перебрасывались в Chrome.

Кампания II

Вторая кампания, которую эксперты наблюдали в декабре 2022 г., использовала несколько свежих на тот момент уязвимостей в Samsung Internet Browser, в том числе еще не устраненных на тот момент: CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 и CVE-2023-26083.

Эксплойты доставлялись в виде одноразовых ссылок в SMS-сообщениях. Получателями стали несколько устройств в ОАЭ. Их перебрасывали на некую веб-страницу, сильно напоминавшую ресурс, использовавшийся испанским поставщиком шпионских программ Variston IT. Эксперты полагают, что цепочку эксплойтов поставляла либо сама эта компания, либо кто-то из ее партнеров.

В декабре 2022 г. эта же кампания была описана в публикации Amnesty International. Там указывалось, что атаки начались не позднее 2020 г., что направлены они были не только на устройства под Android, но и десктопы, и что инфраструктура кампании насчитывала не менее 1000 вредоносных доменов, в том числе имитировавших легитимные сайты различных СМИ.

Точной информации о размахе и целях кампании на данный момент нет.