Un reporte de Threat Analysis Group (TAG), unidad de Google especializada en la investigación sobre el cibercrimen, señala que Cytrox, desarrolladores del peligroso spyware Predator, ha desarrollado nuevos exploits para 5 vulnerabilidades día cero que permitirían infectar millones de dispositivos Android.
Según el informe, al menos tres campañas de hacking están desplegando Predator de forma simultánea, por lo que las infecciones de spyware podrían alcanzar niveles insospechados.
Los exploits detectados apuntan contra cuatro vulnerabilidades día cero en Chrome y una más en Android. Clement Lecigne y Christian Resell, de TAG, mencionan que estos exploits requieren de otras vulnerabilidades conocidas. Estas campañas también se han beneficiado del retraso o diferencia en el lanzamiento de parches para vulnerabilidades críticas, que en muchas ocasiones permanecen sin corregir en áreas específicas del ecosistema Android.
Con sede en Macedonia del Norte, Cytrox habría vendido estos exploits a diferentes grupos de hacking auspiciados por gobiernos en países como Armenia, Costa de Margil, Grecia Egipto, España, Indonesia, Madagascar y Serbia. Sobre el spyware, Predator es descrito como una herramienta similar a Pegasus, de NSO Group, lo que permite a los actores de amenazas penetrar en los dispositivos iOS y Android.
Las vulnerabilidades explotadas en estas campañas han sido identificadas como:
- CVE-2021-1048
- CVE-2021-37973
- CVE-2021-37976
- CVE-2021-38000
- CVE-2021-38003
Para comenzar, los atacantes distribuyen el malware Alien, que una vez en el sistema objetivo, recibirá comandos de Predator a través de un mecanismo de comunicación entre procesos, otorgándole la capacidad de grabar audio, ocultar aplicaciones y evadir la detección.
La primera campaña fue detectada en agosto pasado, explotando las fallas en Google Chrome para dispositivos Samsung Galaxy S21. Un mes después, la segunda campaña se centró en un Samsung Galaxy S10 actualizado, mientras que la tercera se detectó en octubre de 2021.
En las tres campañas, los atacantes envían URLs únicas a los usuarios de Android afectados vía emails de phishing. Una vez que los usuarios hacen clic en estos enlaces, son redirigidos a un sitio web malicioso desde donde se implementan de forma automática los exploits. Para TAG, esta campaña también demuestra que el phishing sigue siendo un método altamente efectivo para la propagación de malware, el robo de información y otros fines cuestionables.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad