谷歌的威脅分析小組(TAG) 表示，國家支持的威脅行為者使用五個零日漏洞來安裝由商業(yè)監(jiān)控開發(fā)商Cytrox開發(fā)的Predator間諜軟件。部分攻擊活動開始于2021年8月至2021年10月之間，攻擊者利用針對Chrome和Android 操作系統(tǒng)的零日漏洞在最新的Android設(shè)備上植入Predator 間諜軟件。

Google TAG成員Clement Lecigne和Christian Resell說：“這些漏洞是由一家商業(yè)監(jiān)控公司 Cytrox 打包并出售給不同的政府支持的參與者，這些參與者至少在三個活動中使用了這些漏洞。”根據(jù)谷歌的分析，購買并使用這些漏洞利用間諜軟件感染安卓目標(biāo)的政府支持的惡意行為者來自埃及、亞美尼亞、希臘、馬達加斯加、科特迪瓦、塞爾維亞、西班牙和印度尼西亞。這些發(fā)現(xiàn)與CitizenLab于2021年12月發(fā)布的關(guān)于Cytrox雇傭間諜軟件的報告一致，當(dāng)時其研究人員在逃亡的埃及政治家 Ayman Nour 的電話中發(fā)現(xiàn)了該惡意工具。Nour的手機也感染了NSO Group的Pegasus間諜軟件，根據(jù) CitizenLab 的評估，這兩種工具由兩個不同的政府客戶操作。

這些活動中使用的五個以前未知的0-day漏洞包括：

• Chrome中的 CVE- 2021-37973、 CVE-2021-37976、 CVE-2021-38000、 CVE-2021-38003
• Android中的 CVE-2021-1048

威脅參與者在三個不同的活動中部署了針對這些零日漏洞的攻擊：

• 活動 #1 -從Chrome 重定向到 SBrowser (CVE-2021-38000)
• 活動 #2 - Chrome 沙盒逃逸(CVE-2021-37973、CVE-2021-37976)
• 活動 #3 - 完整的 Android 0day漏洞利用鏈(CVE-2021-38003、CVE-2021-1048)

谷歌TAG分析師表示，“這三個活動都通過電子郵件向目標(biāo)Android用戶提供了模仿 URL 縮短服務(wù)的一次性鏈接。但它們是有限制的，根據(jù)我們的評估，活動目標(biāo)數(shù)量每次都是幾十個用戶。當(dāng)目標(biāo)用戶單擊后，該鏈接會將目標(biāo)重定向到攻擊者擁有的域，該域在將瀏覽器重定向到合法網(wǎng)站之前傳遞了漏洞。如果鏈接失效，則用戶被直接重定向到合法網(wǎng)站?！边@種攻擊技術(shù)也被用于記者和其他一些被警告說是政府支持的攻擊目標(biāo)的谷歌用戶。在這些活動中，攻擊者首先安裝了帶有 RAT功能的Android Alien銀行木馬，用于加載Predator Android植入程序，并允許錄制音頻、添加 CA 證書和隱藏應(yīng)用程序。

該報告是2021年7月對當(dāng)年在Chrome、Internet Explorer 和 WebKit (Safari) 中發(fā)現(xiàn)的其他四個 0day漏洞的分析的后續(xù)報告。正如 Google TAG 研究人員透露的那樣，與俄羅斯外國情報局 (SVR) 有關(guān)聯(lián)的俄羅斯支持的政府黑客利用 Safari 零日漏洞攻擊西歐國家政府官員的 iOS 設(shè)備。谷歌TAG 周四補充說：“TAG正在積極跟蹤30多家向政府支持的參與者出售漏洞或監(jiān)視設(shè)備的供應(yīng)商，這些供應(yīng)商的復(fù)雜程度和公開曝光程度各不相同?！?/p>

參考來源：https://www.bleepingcomputer.com/news/security/google-predator-spyware-infected-android-devices-using-zero-days/