Die Threat Analysis Group (TAG) von Google hat am Donnerstag einen nordmazedonischen Spyware-Entwickler namens Cytrox beschuldigt, Exploits für fünf Zero-Day-Schwachstellen (auch 0-Day-Schwachstellen genannt) entwickelt zu haben, vier in Chrome und eine in Android, um Android-Nutzer anzugreifen.
„Die 0-Day-Exploits wurden zusammen mit n-Day-Exploits eingesetzt, da die Entwickler den Zeitunterschied zwischen dem Zeitpunkt, an dem einige kritische Fehler gepatcht, aber nicht als Sicherheitsprobleme gekennzeichnet wurden, und dem Zeitpunkt, an dem diese Patches vollständig im Android-Ökosystem bereitgestellt wurden, ausnutzten“, so die TAG-Forscher Clement Lecigne und Christian Resell.
Cytrox soll die Exploits verpackt und an verschiedene von der Regierung unterstützte Akteure in Ägypten, Armenien, Griechenland, Madagaskar, der Elfenbeinküste, Serbien, Spanien und Indonesien verkauft haben, die wiederum die Bugs in mindestens drei verschiedenen Kampagnen als Waffe einsetzten.
Das kommerzielle Überwachungsunternehmen stellt Predator her, ein Implantat, das dem Pegasus der NSO Group ähnelt, und ist dafür bekannt, dass es Tools entwickelt hat, mit denen seine Kunden in iOS- und Android-Geräte eindringen können.
Im Dezember 2021 gab Meta Platforms (ehemals Facebook) bekannt, dass es rund 300 Konten auf Facebook und Instagram gelöscht hat, die das Unternehmen im Rahmen seiner Kompromittierungskampagnen benutzt hat.
Die Liste der fünf ausgenutzten Zero-Day-Schwachstellen in Chrome und Android findest du unten –
Laut TAG begannen alle drei fraglichen Kampagnen mit einer Spear-Phishing-E-Mail, die einmalige Links enthielt, die URL-Verkürzungsdienste imitierten und die Zielpersonen nach dem Anklicken auf eine betrügerische Domain umleiteten, die die Schwachstellen ablegte, bevor sie das Opfer auf eine authentische Website führten.
„Die Kampagnen waren begrenzt – in jedem Fall schätzten wir die Anzahl der Zielpersonen auf einige Dutzend Nutzer“, so Lecigne und Resell. „Wenn der Link nicht aktiv war, wurde der Nutzer direkt auf eine legitime Website umgeleitet.
Das eigentliche Ziel der Operation war nach Einschätzung der Forscher die Verbreitung einer Malware namens Alien, die als Vorstufe für das Laden von Predator auf infizierte Android-Geräte dient.
Die „einfache“ Malware, die Befehle von Predator über einen IPC-Mechanismus (Inter Process Communication) empfängt, wurde so entwickelt, dass sie Audiodaten aufzeichnet, CA-Zertifikate hinzufügt und Apps versteckt, um der Entdeckung zu entgehen.
Die erste der drei Kampagnen fand im August 2021 statt. Sie nutzte Google Chrome als Absprungpunkt auf einem Samsung Galaxy S21 Gerät, um den Browser zu zwingen, eine andere URL im Samsung Internet Browser zu laden, ohne dass eine Benutzerinteraktion erforderlich ist, indem CVE-2021-38000 ausgenutzt wurde.
Ein weiteres Eindringen, das einen Monat später stattfand und auf ein aktuelles Samsung Galaxy S10 übertragen wurde, beinhaltete eine Exploit-Kette, die CVE-2021-37973 und CVE-2021-37976 nutzte, um die Chrome-Sandbox (nicht zu verwechseln mit der Privacy Sandbox) zu umgehen.
Die dritte Kampagne – ein kompletter Android 0-Day-Exploit – wurde im Oktober 2021 auf einem aktuellen Samsung-Handy mit der damals neuesten Version von Chrome entdeckt. Sie kombinierte zwei Schwachstellen (CVE-2021-38003 und CVE-2021-1048), um die Sandbox zu umgehen und das System zu kompromittieren, indem sie bösartigen Code in privilegierte Prozesse einschleuste.
Google TAG wies darauf hin, dass CVE-2021-1048 zwar im September 2020 im Linux-Kernel behoben wurde, aber erst im letzten Jahr auf Android zurückportiert wurde, da die Behebung nicht als Sicherheitslücke gekennzeichnet war.
„Angreifer suchen aktiv nach solchen langsam behobenen Sicherheitslücken und profitieren davon“, so die Forscher.
„Um die schädlichen Praktiken der kommerziellen Überwachungsindustrie zu bekämpfen, ist ein robuster, umfassender Ansatz erforderlich, der die Zusammenarbeit von Bedrohungsmeldeteams, Netzwerkverteidigern, akademischen Forschern und Technologieplattformen umfasst.