谷歌的威脅分析小組(TAG) 表示，國家支持的威脅行為者使用五個零日漏洞來安裝由商業(yè)監(jiān)控開發(fā)商Cytrox開發(fā)的Predator間諜軟件。部分攻擊活動開始于2021年8月至2021年10月之間，攻擊者利用針對Chrome和Android 操作系統(tǒng)的零日漏洞在最新的Android設備上植入Predator 間諜軟件。

Google TAG成員Clement Lecigne和Christian Resell說：“這些漏洞是由一家商業(yè)監(jiān)控公司 Cytrox 打包并出售給不同的政府支持的參與者，這些參與者至少在三個活動中使用了這些漏洞。”根據(jù)谷歌的分析，購買并使用這些漏洞利用間諜軟件感染安卓目標的政府支持的惡意行為者來自埃及、亞美尼亞、希臘、馬達加斯加、科特迪瓦、塞爾維亞、西班牙和印度尼西亞。這些發(fā)現(xiàn)與CitizenLab于2021年12月發(fā)布的關于Cytrox雇傭間諜軟件的報告一致，當時其研究人員在逃亡的埃及政治家 Ayman Nour 的電話中發(fā)現(xiàn)了該惡意工具。Nour的手機也感染了NSO Group的Pegasus間諜軟件，根據(jù) CitizenLab 的評估，這兩種工具由兩個不同的政府客戶操作。

這些活動中使用的五個以前未知的0-day漏洞包括：

• Chrome中的 CVE- 2021-37973、 CVE-2021-37976、 CVE-2021-38000、 CVE-2021-38003
• Android中的 CVE-2021-1048

威脅參與者在三個不同的活動中部署了針對這些零日漏洞的攻擊：

• 活動 #1 -從Chrome 重定向到 SBrowser (CVE-2021-38000)
• 活動 #2 - Chrome 沙盒逃逸(CVE-2021-37973、CVE-2021-37976)
• 活動 #3 - 完整的 Android 0day漏洞利用鏈(CVE-2021-38003、CVE-2021-1048)

谷歌TAG分析師表示，“這三個活動都通過電子郵件向目標Android用戶提供了模仿 URL 縮短服務的一次性鏈接。但它們是有限制的，根據(jù)我們的評估，活動目標數(shù)量每次都是幾十個用戶。當目標用戶單擊后，該鏈接會將目標重定向到攻擊者擁有的域，該域在將瀏覽器重定向到合法網(wǎng)站之前傳遞了漏洞。如果鏈接失效，則用戶被直接重定向到合法網(wǎng)站。”這種攻擊技術也被用于記者和其他一些被警告說是政府支持的攻擊目標的谷歌用戶。在這些活動中，攻擊者首先安裝了帶有 RAT功能的Android Alien銀行木馬，用于加載Predator Android植入程序，并允許錄制音頻、添加 CA 證書和隱藏應用程序。

該報告是2021年7月對當年在Chrome、Internet Explorer 和 WebKit (Safari) 中發(fā)現(xiàn)的其他四個 0day漏洞的分析的后續(xù)報告。正如 Google TAG 研究人員透露的那樣，與俄羅斯外國情報局 (SVR) 有關聯(lián)的俄羅斯支持的政府黑客利用 Safari 零日漏洞攻擊西歐國家政府官員的 iOS 設備。谷歌TAG 周四補充說：“TAG正在積極跟蹤30多家向政府支持的參與者出售漏洞或監(jiān)視設備的供應商，這些供應商的復雜程度和公開曝光程度各不相同。”

參考來源：https://www.bleepingcomputer.com/news/security/google-predator-spyware-infected-android-devices-using-zero-days/