Il Threat Analysis Group (TAG) di Google ha scoperto due campagne di spyware mobile altamente mirate che utilizzano exploit zero-day per distribuire software di sorveglianza contro gli utenti di iPhone e smartphone Android.
“Il Threat Analysis Group (TAG) di Google tiene traccia degli attori coinvolti in operazioni informative (IO), attacchi sostenuti dal governo e abusi motivati finanziariamente. Per anni, il TAG ha monitorato le attività dei fornitori commerciali di spyware per proteggere gli utenti. Oggi monitoriamo attivamente più di 30 fornitori, con diversi livelli di sofisticazione e visibilità pubblica, che vendono exploit o capacità di sorveglianza ad attori sostenuti dal governo“, commenta l’analista Clement Lecigne nell’ultimo rapporto del TAG.
La campagna che prende di mira anche l’Italia
La campagna ha preso di mira dispositivi Android e iOS (Android su telefoni con GPU ARM e versioni di Chrome precedenti alla 106 e iOS con versioni precedenti alla 15.1) con tentativi di accesso iniziale forniti tramite shortlink bit.ly inviati via SMS a utenti in Italia, Malaysia e Kazakistan. Tali collegamenti reindirizzavano i visitatori a pagine che ospitavano exploit per Android o iOS, per poi reindirizzarli verso siti Web legittimi come la pagina di tracking per spedizioni BRT in Italia o un popolare sito Web per news malese.
Ecco l’elenco degli exploit:
- Android, CVE-2022-3723, CVE-2022-4135, CVE-2022-38181
- iOS, CVE-2022-42856, CVE-2021-30900
Nel caso dei sistemi iOS il payload dell’exploit includeva un semplice stager che riportava la posizione GPS del dispositivo e consentiva all’aggressore di installare un file .IPA per rubare informazioni.
La catena di exploit che interessa il browser Internet Samsung
La seconda campagna rilevata, includeva una catena di exploit completa utilizzando sia 0-days che n-days, interessando l’ultima versione del browser Internet Samsung. In questo caso gli exploit sono stati consegnati tramite link via SMS su dispositivi situati negli Emirati Arabi Uniti (EAU).
Uso e abuso di spyware commerciale
Queste scoperte evidenziano quanto sia importante come mezzo di prevenzione la tempestività nell’applicare le patch software rilasciate dai fornitori per impedire a malintenzionati di sfruttare vulnerabilità note, ma anche come sia usuale che i fornitori di spyware commerciale condividano exploit e tecniche consentendo la proliferazione di strumenti di hacking potenzialmente pericolosi, armando i governi oppure vendendo tali strumenti ad attori nation-state.
“Sebbene l’uso delle tecnologie di sorveglianza possa essere legale ai sensi delle leggi nazionali o internazionali, spesso vengono utilizzate dai governi per prendere di mira dissidenti, giornalisti, operatori dei diritti umani e politici dei partiti di opposizione“, evidenzia l’esperto Clement Lecigne.