Pegasus di NSO Group è senza dubbio il tool di sorveglianza più noto, ma sul mercato ci sono altri software simili. Uno di essi è Predator, analizzato in dettaglio dal Citizen Lab dell’università di Toronto. Google ha rilevato e descritto tre campagne spyware che sfruttano cinque vulnerabilità zero-day di Android.
Predator: spyware per Android
Predator viene sviluppato da Cytrox e venduto a diversi governi, tra cui Egitto, Armenia, Grecia, Madagascar, Costa d’Avorio, Serbia, Spagna e Indonesia. Non sono noti però gli autori degli attacchi spyware avvenuti nel corso del 2021. L’obiettivo delle tre campagne era l’accesso ai dispositivi Android di specifici target. In tutti i casi è stato utilizzato un link, inviato via email, che imita un servizio di URL shortener.
Quando l’ignara vittima clicca sul link, il browser si collega ad un dominio gestito dai cybercriminali, da cui viene scaricato il malware prima di visualizzare un sito legittimo. Il malware in questione è Alien che carica Predator, il tool di spionaggio. Quest’ultimo può eseguire diverse azioni, tra registrare l’audio, aggiungere certificati e nascondere le app.
La prima campagna, rilevata ad agosto 2021, ha sfruttato la vulnerabilità zero-day CVE-2021-38000 di Chrome per caricare l’indirizzo del dominio nel Samsung Browser, senza l’interazione dell’utente. La seconda campagna, scoperta a settembre 2021, ha sfruttato le vulnerabilità zero-day CVE-2021-37973 e CVE-2021-37976 di Chrome per eludere la sandbox del browser e scaricare lo spyware sullo smartphone.
Infine, la terza campagna di ottobre 2021 ha sfruttato le vulnerabilità zero-day CVE-2021-38003 di Chrome e CVE-2021-1048 di Android. Predator e altri spyware commerciali vengono utilizzati per colpire determinati target, ma è sempre consigliata l’installazione di soluzioni di sicurezza che garantiscono la massima protezione online. Tra le più efficaci e affidabili c’è Panda Dome Premium.