Una serie di vulnerabilità zero-day sono state sfruttate da fornitori di spyware per colpire dispositivi Android e iOS, afferma il Threat Analysis Group di Google. Gli hacker hanno limitato e mirato le due campagne, sfruttando il divario tra il rilascio di una patch e la sua effettiva distribuzione sui dispositivi. L’entità delle due campagne e la natura degli obiettivi sono attualmente sconosciute.
Clement Lecigne, di TAG, dichiara in un nuovo rapporto:
Questi fornitori stanno permettendo la proliferazione di pericolosi strumenti di hacking, armando governi che non sarebbero in grado di sviluppare queste capacità internamente. Sebbene l’uso delle tecnologie di sorveglianza possa essere legale ai sensi delle leggi nazionali o internazionali, spesso i governi le usano per prendere di mira dissidenti, giornalisti, operatori dei diritti umani e politici dell’opposizione.
Spyware per spiare dispositivi Android e iOS
Come avete potuto leggere, precedentemente, il TAG di Google monitora da diversi anni le attività degli spyware commerciali, almeno 30 aziende vendono questo tool di hacking a cybercriminali e ai governi che spiano dissidenti, giornalisti o politici. Nelle recenti ultime due campagne sono state sfruttate numerose vulnerabilità zero-day di Android e iOS e per colpire specifici bersagli in vari paesi.
Campagna hacking di Novembre: Italia, Malesia e Kazakistan
La prima delle due operazioni ha avuto luogo nel novembre 2022 e prevedeva l’invio di link abbreviati tramite SMS a utenti situati in Italia, Malesia e Kazakistan. Una volta cliccati, gli URL reindirizzavano i destinatari a pagine web che ospitavano exploit per Android o iOS, prima di reindirizzare a siti web legittimi.
La catena di exploit per iOS ha sfruttato diversi bug, tra cui CVE-2022-42856 (allora zero-day), CVE-2021-30900 e un bypass del codice di autenticazione del puntatore (PAC), per installare un file .IPA sul dispositivo suscettibile.
La catena di exploit Android comprendeva tre exploit – CVE-2022-3723, CVE-2022-4135 (uno zero-day al momento dell’abuso) e CVE-2022-38181 – per fornire un payload non specificato.
CVE-2022-38181, un bug di privilege escalation che colpisce il Mali GPU Kernel Driver, era stato patchato da Arm nell’agosto 2022. Non è chiaro se l’avversario fosse già in possesso di un exploit per la falla prima del rilascio della patch.
Un altro aspetto degno di nota è che gli utenti Android che hanno cliccato sul link e lo hanno aperto in Samsung Internet Browser sono stati reindirizzati a Chrome utilizzando un metodo chiamato intent redirection.
Campagna hacking di Dicembre: Emirati Arabi Uniti
La seconda campagna, osservata nel dicembre 2022, consisteva in diversi zero-days e n-days. La campagna mirava all’ultima versione di Samsung Internet Browser, con gli exploit consegnati come link via SMS a dispositivi situati negli Emirati Arabi Uniti.
La pagina web, simile a quelle utilizzate dall’azienda spagnola di spyware Variston IT, impiantava infine un toolkit maligno basato su C++ in grado di raccogliere dati dalle applicazioni di chat e browser.
Le falle sfruttate sono CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 e CVE-2023-26083. Si ritiene che la catena di exploit sia stata utilizzata da un cliente o da un partner di Variston IT.
Amnesty International, in un rapporto coordinato, ha descritto la campagna di hacking del dicembre 2022 come avanzata e sofisticata. Inoltre afferma che l’exploit è stato sviluppato da una società commerciale di sorveglianza informatica e venduto agli hacker governativi per effettuare attacchi spyware mirati.
L’organizzazione non governativa internazionale ha dichiarato:
La campagna di spyware appena scoperta è attiva almeno dal 2020 e ha preso di mira dispositivi mobili e desktop, compresi gli utenti del sistema operativo Android di Google.
Lo spyware e gli exploit zero-day sono stati veicolati da una vasta rete di oltre 1.000 domini dannosi, tra cui domini che riproducono siti web di media in diversi Paesi.
Le rivelazioni sono arrivate pochi giorni dopo che il governo degli Stati Uniti ha annunciato un ordine esecutivo che limita le agenzie federali dall’utilizzo di spyware commerciali che presentano un rischio per la sicurezza nazionale.
Lecigne ha dichiarato:
Queste campagne ci ricordano che l’industria dello spyware commerciale continua a prosperare. Anche i piccoli fornitori di sorveglianza hanno accesso agli zero-day e quelli che accumulano e utilizzano in segreto gli zero-day rappresentano un rischio per Internet. Queste campagne potrebbero indicare che i fornitori condividono tra di loro gli exploit e le tecniche, consentendo la proliferazione di pericolosi strumenti di hacking.
A proposito di spyware, leggi il nostro articolo “ Come eliminare uno spyware dal proprio cellulare“, sono sicuro che lo troverai molto interessante.
