Il Threat Analysis Group di Google monitora da diversi anni le attività degli spyware commerciali. Questo tool di hacking sono venduti da almeno 30 aziende a cybercriminali e ai governi che spiano dissidenti, giornalisti o politici. In due recenti campagne sono state sfruttate numerose vulnerabilità zero-day di Android, iOS e Chrome per colpire specifici bersagli in vari paesi.
Spionaggio con exploit per Android e iOS
La prima campagna di spionaggio è stata scoperta a novembre e sfrutta una serie di vulnerabilità zero-day di Android e iOS. La catena di infezione inizia con l’invio di un SMS con un link bit.ly
che punta ad una pagina infetta, prima di essere sostituita con il sito legittimo di BRT. I bersagli sono quindi gli utenti italiani, ma un simile attacco è stato effettuato contro gli utenti di Malaysia e Kazakhstan.
Nel caso di iOS vengono sfruttate le vulnerabilità CVE-2022-42856 e CVE-2021-30900 presenti nelle versioni 15.1 e precedenti del sistema operativo. La prima permette di eseguire codice remoto quando l’utente visita un sito infetto con Safari. Il bug è stato usato dallo spyware Predator di Cytrox. La seconda consente di aggirare la sandbox. Lo scopo finale è scoprire la posizione geografica del dispositivo e installare app.
Nel caso di Android vengono sfruttate le vulnerabilità CVE-2022-3723, CVE-2022-4135 e CVE-2022-38181 presenti in smartphone con GPU ARM che eseguono versioni di Chrome precedenti alla 106. Google ha tuttavia scoperto il payload finale.
La seconda campagna di spionaggio è stata scoperta a dicembre e sfrutta una serie di vulnerabilità presenti nel Samsung Internet Browser, basato su Chromium 102: CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 e CVE-2023-0266. In questo caso, i bersagli erano utenti negli Emirati Arabi Uniti. Gli exploit sono stati probabilmente usati dallo spyware Heliconia di Variston.