Взлом устройств Android и iOS - не миф, а реальность, подтвержденная Google

Команда Google TAG сообщает , что поставщики коммерческого шпионского ПО использовали несколько 0day-уязвимостей для атак на устройства Android и iOS.

Две отдельные кампании были ограниченными и узконаправленными, в них использовался разрыв между выпуском исправления и моментом его фактического развертывания на целевых устройствах. Масштабы кампаний и характер целей в настоящее время неизвестны.

Первая кампания проходила в ноябре 2022 года и заключалась в отправке сокращенных ссылок в SMS-сообщениях пользователям в Италии, Малайзии и Казахстане. При нажатии на ссылку URL-адреса перенаправляли жертв на заражённые сайты, на которых размещены эксплойты для Android или iOS, а затем пользователи перенаправлялись на легитимные новостные сайты или сайты отслеживания почтовых отправлений.

• Цепочка эксплойтов iOS использовала несколько уязвимостей – CVE-2022-42856 , CVE-2021-30900 и атаку PACMAN для установки IPA-файла на устройство.
• Цепочка эксплойтов для Android состояла из трех ошибок – CVE-2022-3723 , CVE-2022-4135 и CVE-2022-38181 — для доставки полезной нагрузки, которую экспертам определить не удалось.

Вторая кампания происходила в декабре 2022 года и состояла из нескольких нулевых дней в браузере Samsung, при этом эксплойты доставлялись через ссылки в SMS на устройства, расположенные в ОАЭ.

Ссылка ввела на сайт, похожий на сайт поставщика шпионского ПО из Испании Variston IT, которого Google TAG обвиняла в разработке набора хакерских инструментов Heliconia . Вредоносный сайт доставлял на устройства шпионский инструмент на основе C++, способный собирать данные из чатов и браузеров.

• В операции эксплуатировались уязвимости CVE-2022-4262 , CVE-2022-3038 , CVE-2022-22706 , CVE-2023-0266 и CVE-2023-26083 . Эксперты предполагают, что цепочка эксплойтов использовалась клиентом или партнером Variston IT.

Правозащитная организация Amnesty International охарактеризовала декабрьскую кампанию как «передовую и изощренную» и что эксплойт «разработан коммерческой компанией по кибернаблюдению и продан правительственным хакерам для проведения целевых шпионских атак».

По словам Amnesty International, шпионское ПО и эксплойты доставлялись из сети, состоящей из более 1000 вредоносных доменов, включая домены, имитирующие сайты с медиаконтентом в разных странах.

Исследователи заключили, что две обнаруженные кампании — напоминание о том, что индустрия коммерческого шпионского ПО продолжает процветать. Даже мелкие поставщики имеют доступ к нулевым дням. Компании обмениваются эксплойтами и методами взлома, способствуя распространению опасных хакерских инструментов.