El Grupo de Análisis de Amenazas de Google (TAG) ha revelado el seguimiento de más de 30 proveedores de software espía comercial que facilitan la propagación de malware por parte de actores de amenazas respaldados por el gobierno.
En concreto, el artículo describe dos campañas muy selectivas que aprovechan varios exploits de día cero contra dispositivos Android, iOS y Chrome.
La primera de ellas se basa en una vulnerabilidad de ejecución remota de código en iOS (CVE-2022-42856) y en una vulnerabilidad de desbordamiento del búfer de montón en el navegador web Chrome (CVE-2022-4135). La campaña se basaba en enlaces bit.ly enviados por SMS a víctimas potenciales en Italia, Malasia y Kazajstán.
En los dispositivos iOS, esta campaña entrega finalmente una carga útil que hace ping a la localización GPS del dispositivo. También ofrece al atacante la posibilidad de instalar un archivo .IPA (archivo de aplicaciones iOS) en el equipo de la víctima. La cadena de ataque era similar en Android, con la principal diferencia de que los atacantes tenían como objetivo teléfonos con una GPU ARM que ejecutaban versiones de Chrome anteriores a la 106.
La segunda campaña observada por TAG se descubrió en diciembre de 2022. Se basaba en una completa cadena de exploits compuesta por múltiples zero-days y n-days dirigidos a la última versión del navegador de Internet de Samsung
El enlace dirigía a los usuarios a una página de destino idéntica a la que TAG examinó en el marco Heliconia desarrollado por el proveedor comercial de spyware Variston”, explicó Lecigne. “La cadena de exploits entregaba en última instancia una suite completa de spyware para Android escrita en C++ que incluye bibliotecas para descifrar y capturar datos de varias aplicaciones de chat y navegador.
El investigador agregó que el actor de la amenaza detrás de esta segunda campaña se dirigió a los usuarios de los EAU y puede ser un cliente o socio de Variston, o de otra manera trabajar en estrecha colaboración con ellos.
Info – Ciberseguridad Latam