Threats

Spyware Predator distribuído a dispositivos iOS e Android através de vulnerabilidades zero-day

Cibercriminosos recorrem a vulnerabilidades zero-day e ciberataques Man-in-the-middle para distribuir o spyware Predator em iPhones e dispositivos Android

25/09/2023

Spyware Predator distribuído a dispositivos iOS e Android através de vulnerabilidades zero-day

Segundo o Threat Analysis Group do Google, o spyware Predator foi entregue a iPhones e dispositivos Android através vulnerabilidades de zero-day do iOS e Chrome e ataques man-in-the-middle (MitM).

Na semana passada, a Apple disponibilizou patches para três zero-day: ignorar verificação de assinatura (CVE-2023-41991); escalar privilégios locais (CVE-2023-41992); e executar código arbitrário através de uma webpage maliciosa (CVE-2023-41993). A empresa corrigiu as vulnerabilidades no iOS, macOS e outros softwares, mas afirma ter apenas conhecimento da exploração destinada a dispositivos com versões do iOS anteriores à 16.7.

O Threat Analysis Group, juntamente com o grupo Citizen Lab da Universidade de Toronto, foram os responsáveis por reportar as vulnerabilidades à Apple e revelaram que as falhas estão associadas a um ataque contra Ahmed Altantawy, um político da oposição no Egito.

A exploração foi distribuída através de um ataque MitM, que normalmente é realizado por cibercriminosos que têm muitos recursos, como grupos com patrocínio estatal. Tendo em conta que o Egito é um cliente conhecido do spyware Predator, é altamente improvável que a operação que visa o líder da oposição tenha sido conduzida sem o conhecimento das autoridades egípcias, de acordo com o Citizen Lab.

Segundo o Citizen Lab, quando Altantawy acedia a websites que utilizavam HTTP em vez de HTTPS, através da sua ligação de dados móveis Vodafone Egypt, era redirecionado para um site configurado para servir o spyware Predator. Isto permitia ao cibercriminoso interromper o tráfego do político egípcio, forçando um redireccionamento para o site malicioso.

O spyware Predator foi atribuído a duas entidades relacionadas, a Cytrox e a Intellexa, sendo a primeira conhecida pela implantação em iPhones de última geração.

“Embora haja destaque para vulnerabilidades ‘zero-click’ (bugs que não requerem interação do utilizador), esta entrega MITM também não exigia que o utilizador abrisse nenhum documento, clicasse num link específico ou atendesse qualquer chamada telefónica”, explica a Google.

Os regimes totalitários e autoritários recorrem comummente a middleboxes de gestão de tráfego para vigiar e manipular tráfego ao nível do ISP. Neste caso específico, o Citizen Lab revela que o cibercriminoso utilizou uma middlebox de injeçao, mas não conseguiram determinar se esta estava na rede da Telecom Egypt ou da Vodafone Egypt. Ainda assim, o grupo suspeita que “esteja dentro da rede da Vodafone Egypt, porque direcionar precisamente a injeção a um assinante individual da Vodafone exigiria integração com o banco de dados de assinantes da Vodafone”.

O Google verificou também uma cadeia de exploração projetada para a instalação do spyware Predator em dispositivos Android no Egito, tendo sido distribuída através de ataques MitM e de links maliciosos enviados diretamente ao alvo por mensagens SMS e Whatsapp.

Apesar de os investigadores não terem conseguido proceder à identificação de todas as vulnerabilidades envolvidas na cadeia em questão, confirmaram que esta aproveitou a vulnerabilidade CVE-2023-4762 para a execução remota de código.

Esta vulnerabilidade é do Chrome e foi corrigida pelo Google com uma atualização lançada no início de setembro, sendo que, na altura, não tinham conhecimento da exploração em questão. A empresa acredita, no entanto, que a CVE-2023-4762 terá sido explorada como um zero-day antes do lançamento desta atualização.

O Google verificou ainda que o navegador Chrome possui um recurso designado HTTP-First mode, que tenta atualizar as webpages de forma automática para HTTPS.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº18 Junho 2024

IT SECURITY Nº18 Junho 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.