Шпионскиот софтвер на македонската компанија Cytrox злоупотребувал 0-day пропусти во Chrome и Android

Вообичаено кога се споменува софтвер за шпионирање на паметни телефон, прво помислуваме на Pegasus и NSO Group. Но, сепак последнава година момците од NSO Group добиваат вистинска конкуренција од Predator, шпионски софтвер произведен од македонско-израелската компанија Cytrox, која Facebook Meta ја стави на црната листа во декември.

„Cytrox“ е израелска компанија која работи од Македонија. Компанијата за првпат влезе во фокусот на безбедносните експерти во декември минатата година. CitizenLab во соработка со Meta ги објави првите податоци за софтверот на компанијата. Стартапот во Македонија е основан во 2017 година, истата година се основани и компаниите во Израел под името „Cytrox EMEA Ltd.“ и „Cytrox Software Ltd.“; а во Унгарија во 2017 е основана „Cytrox Holdings Zrt“. Според достапните информации кои беа објавени од страна на Meta и истражувачките новинари, основач на Cytrox во Македонија е Иво Малинковски.

Минатата недела безбедносните експерти на Google предупредија на три кампањи во кои софтверот за следење Predator бил користен за следење на корисници на Android. Софтверот злоупотребува неколку 0-day пропусти и неколку пропусти кои не биле „закрпени“ навреме. Threat Analysis Group на Google пронајде 5 претходно непознати безбедносни пропусти кои софтверот ги злоупотребува,а четири од нив се на прелистувачот Chrome (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003), додека еден е кај оперативниот систем Android (CVE-2021-1048).

„Наша процена е дека овие пропусти се спакувани од една комерцијална компанија за следење – Cytrox, го продале пакетот на различни учесници поддржани од држави, кои потоа ги искористиле во барем три кампањи“.

Регистрирани се операции во Египет, Ерменија, Грција, Мадагаскар, Брегот на Слоновата Коска, Србија, Шпанија и Индонезија.

Како функционира нападот?

Нападот започнува со линк до жртвата пратен преку имејл. Линкот е имитација која треба да наликува на „URL shortener“. Ако корисникот го отвори линкот најпрво ќе биде препратен на локација на која ќе бидат „испорачани“ пропусти, по што жртвата се испраќа на легитимната локација. Ако линкот не е активен, се прескокнува првиот чекор, а корисниците веднаш се препраќаат на безбедната локација.

Во овој чекор од кампањата, на уредите на жртвите се инсталира малициозниот софтвер „Alien“ кој потоа го вчитува Predator. „Alien“ е лоциран во повеќе привилегирани процеси, а командите ги добива од Predator преку IPC (Inter Process Communication).

Бројот на жртви не е премногу голем – безбедносните експерти од Google проценија дека бројката во секоја од трите кампањи е околу десетина корисници.

Првата кампања е детектирана во август 2021. Кампањата користела Chrome на Samsung Galaxy S21. Напаѓачот преку URL вчитува линк во Samsung прелистувачот без никаква интеракција од корисникот. Пропуст во прелистувачот на Samsung кој во овој период имал издадена закрпа, но корисниците не го надградиле прелистувачот, им овозможил на напаѓачите да го продолжат нападот.

cytrox intent url
https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/

Во вториот случај Threat Analysis Group во септември 2021 детектирале кампања која таргетирала потполно надграден Samsung S10 со најнова верзија на Chrome. Во нападите се користени два 0-day пропусти на Chrome кои на напаѓачот му овозможиле да излезе од Chrome Sandbox. За жал експертите не успеале да го детектираат првиот Remote Code Execution пропуст кој го овозможил нападот.

Излегувањето од „Sandbox“ било вчитано  директно како ELF binary embedding libchrome.so, а кастом libmojo_bridge.so е користен за комуникација со Mojo IPC.

Во третата кампања во октомври 2021, жртва е потполно  надграден Samsung уред со Chrome прелистувач. Во нападите се користени два 0-day пропусти. Интересно во овој случај е злоупотребен баг во Linux kernel кој е поправен повеќе од една година пред да биде активна кампањата. Поправката (commit) не била означена како безбедносна закрпа и надградба не била веднаш издадена за Android уредите.

cytrox
https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/

Веројатно најголемата опасност која доаѓа од комерцијалната индустрија која креира софтвер за следење е опасноста од негова злоупотреба. NSO Group често во своја одбрана кажува дека тие само ги испорачуваат алатките, но немаат никакво влијание како потоа се користат. Cytrox засега успешно се крие од јавноста, но без сомневање ако мораат да се појават во јавност ќе ја слушаме истата приказна како од NSO Group.

Повеќете детали за случајот може да откриете на официјалниот Google блог.

Добивај известувања
Извести ме за
guest
0 Коментари
Inline Feedbacks
View all comments
види ги сите огласи на kariera.it.mk