El grupo de análisis de amenazas de Google ha detectado varias cadenas de explotación que utilizan vulnerabilidades de día cero en Android, iOS y Chrome para instalar spyware y aplicaciones maliciosas en los dispositivos de los objetivos.
En una primera campaña detectada el pasado mes de noviembre, los ciberdelincuentes se dirigieron a usuarios de iOS y Android con cadenas de explotación. Para ello utilizaron mensajes de texto que incorporaban enlaces acortados de bit.ly para redirigir a las víctimas a sitios web de envío legítimos de Italia, Malasia y Kazajstán.
Sin embargo, antes pasaban por páginas maliciosas que desencadenaban exploits que abusaban de una ejecución remota de código iOS WebKit de día cero (CVE-2022-42856) y un error de sandbox (CVE-2021-30900).
En los dispositivos iOS comprometidos, los ciberdelincuentes lanzaron una carga útil que les permitió rastrear la ubicación de las víctimas e instalar archivos ‘IPA’.
Como parte de la misma campaña, también se usó una cadena de exploits de Android para atacar dispositivos con GPU de ARM con un entorno de pruebas de Chrome GPU de día cero (CVE-2022-4135), un error de escalada de privilegios ARM (CVE-2022-38181), y un error en Chrome (CVE-2022-3723) con una carga útil desconocida.
Según los investigadores de Google, cuando ARM lanzó una solución para CVE-2022-38181, varios proveedores, incluidos Pixel, Samsung, Xiaomi, y Oppo, entre otros, no incorporaron el parche, lo que llevó a que los ciberdelincuentes pudieran seguir explotando este fallo durante varios meses.
Vulnerabilidades explotadas contra usuarios de Samsung
Junto a estos ataques, en diciembre también se detectó una segunda campaña utilizando una cadena de exploits dirigida a versiones actualizadas del navegador de Internet de Samsung utilizando múltiples días cero.
Los objetivos de los Emiratos Árabes Unidos (EAU) fueron redirigidos para explotar páginas idénticas a las creadas por el proveedor de spyware Variston y apuntando a una larga lista de errores.
Al final, la cadena de explotación implementó con éxito una suite de spyware basada en C++ para Android, completada con bibliotecas diseñadas para descifrar y extraer datos de numerosas aplicaciones de chat y navegador.
Según los expertos, estas campañas también pueden indicar que los proveedores de vigilancia comparten exploits y técnicas, lo que permite la proliferación de herramientas de piratería peligrosas.
El descubrimiento de estas cadenas de explotación se debió a los hallazgos compartidos por el Laboratorio de seguridad de Amnistía Internacional, que también publicó información sobre los dominios y la infraestructura utilizados en los ataques.
De acuerdo con este organismo, esta campaña de software espía ha estado activa desde al menos 2020, y se dirigió a dispositivos móviles y de escritorio, incluidos los usuarios del sistema operativo Android de Google.
El spyware y los exploits de día cero se enviaron desde una extensa red de más de 1.000 dominios maliciosos, incluidos dominios que falsifican sitios web de medios en varios países.
