{"id":19502,"date":"2022-05-20T19:01:30","date_gmt":"2022-05-20T22:01:30","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19502"},"modified":"2022-05-20T19:01:30","modified_gmt":"2022-05-20T22:01:30","slug":"spyware-predator-com-exploits-de-zero-day","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/05\/basico\/spyware-predator-com-exploits-de-zero-day\/","title":{"rendered":"Spyware Predator com exploits de Zero-Day"},"content":{"rendered":"\n<h1 class=\"story-title\"><span>Spyware Predator da Cytrox direcionado a usu\u00e1rios do Android com exploits de Zero-Day<\/span><\/h1>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O Grupo de An\u00e1lise de Amea\u00e7as do Google (TAG) apontou na quinta-feira o dedo para um desenvolvedor de spyware da Maced\u00f4nia do Norte chamado Cytrox por desenvolver explora\u00e7\u00f5es contra cinco falhas de dia zero (tamb\u00e9m conhecidas como Zero-Day), quatro no Chrome e uma no Android, para atingir usu\u00e1rios do Android.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;Os exploits de Zero-Day foram usados \u200b\u200bjuntamente com os exploits de n-day, pois os desenvolvedores aproveitaram a diferen\u00e7a de tempo entre quando alguns bugs cr\u00edticos foram corrigidos, mas n\u00e3o sinalizados como problemas de seguran\u00e7a, e quando esses patches foram totalmente implantados no ecossistema Android&#8221;, informaram os pesquisadores da TAG Clement Lecigne e Christian Resell <\/span><span> .<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A Cytrox supostamente empacotou as fa\u00e7anhas e as vendeu para diferentes atores apoiados pelo governo localizados no Egito, Arm\u00eania, Gr\u00e9cia, Madagascar, Costa do Marfim, S\u00e9rvia, Espanha e Indon\u00e9sia, que, por sua vez, armaram os bugs em pelo menos tr\u00eas campanhas diferentes.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A empresa de vigil\u00e2ncia comercial \u00e9 a fabricante do <\/span><span>Predator<\/span><span> , um implante <\/span><span>an\u00e1logo ao <\/span><span>Pegasus<\/span><span> do NSO Group , e \u00e9 conhecida por ter desenvolvido ferramentas que permitem que seus clientes penetrem em dispositivos iOS e Android.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Em dezembro de 2021, a Meta Platforms (anteriormente Facebook) <\/span><span>divulgou<\/span><span> que havia agido para remover cerca de 300 contas no Facebook e Instagram que a empresa usava como parte de suas campanhas de comprometimento.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p><span>A lista das cinco falhas de Zero-Day exploradas no Chrome e no Android listadas abaixo :<br \/><\/span><\/p>\n<p>\u00a0<\/p>\n<ul>\n<li><strong><span>CVE-2021-37973<\/span><\/strong><span> &#8211; Use-after-free na API de portais<\/span><\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<ul>\n<li><strong><span>CVE-2021-37976<\/span><\/strong><span> &#8211; Vazamento de informa\u00e7\u00f5es no n\u00facleo<\/span><\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<ul>\n<li><strong><span>CVE-2021-38000<\/span><\/strong><span> &#8211; Valida\u00e7\u00e3o insuficiente de entrada n\u00e3o confi\u00e1vel em Intents (<\/span><span> an\u00e1lise de causa raiz<\/span><span> )<\/span><\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<ul>\n<li><strong><span>CVE-2021-38003<\/span><\/strong><span> &#8211; Implementa\u00e7\u00e3o inadequada na V8 <br \/><\/span><\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<ul>\n<li><strong><span>CVE-2021-1048<\/span><\/strong><span> &#8211; Use-after-free no kernel do Android (<\/span><span> an\u00e1lise de causa raiz<\/span><span> )<\/span><\/li>\n<\/ul>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>De acordo com a TAG, todas as tr\u00eas campanhas em quest\u00e3o come\u00e7aram com um e-mail de spear phishing que continha links \u00fanicos que imitavam servi\u00e7os de encurtador de URL que, uma vez clicados, redirecionavam os alvos para um dom\u00ednio n\u00e3o autorizado que descartava as explora\u00e7\u00f5es antes de levar a v\u00edtima para um site leg\u00edtimo. local.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;As campanhas eram limitadas em cada caso, avaliamos que o n\u00famero de alvos estava na casa das dezenas de usu\u00e1rios&#8221;, conforme observa\u00e7\u00e3o de\u00a0 Lecigne e Resell. &#8220;Se o link n\u00e3o estava ativo, o usu\u00e1rio era redirecionado diretamente para um site leg\u00edtimo.&#8221;<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O objetivo final da opera\u00e7\u00e3o, avaliaram os pesquisadores, era distribuir um malware chamado Alien, que atua como um precursor para carregar o Predator em dispositivos Android infectados.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O malware &#8220;simples&#8221;, que recebe comandos do Predator por meio de um mecanismo de comunica\u00e7\u00e3o entre processos (IPC), foi projetado para gravar \u00e1udio, adicionar certificados de CA e ocultar aplicativos para evitar a detec\u00e7\u00e3o.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A primeira das tr\u00eas campanhas ocorreu em agosto de 2021. Ele usou o Google Chrome como ponto de partida em um dispositivo Samsung Galaxy S21 para for\u00e7ar o navegador a carregar outro URL no navegador de Internet Samsung sem exigir intera\u00e7\u00e3o do usu\u00e1rio, explorando o CVE-2021- 38.000.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Outra intrus\u00e3o, que ocorreu um m\u00eas depois e foi entregue a um Samsung Galaxy S10 atualizado, envolveu uma cadeia de explora\u00e7\u00e3o usando CVE-2021-37973 e CVE-2021-37976 para escapar da <\/span><span>sandbox do Chrome<\/span><span> (n\u00e3o confundir com <\/span><span>Privacy Sandbox<\/span><span> ), aproveitando-o para descartar um segundo exploit para escalar privil\u00e9gios e implantar o backdoor.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>A terceira campanha &#8211; uma explora\u00e7\u00e3o completa de Zero-Day do Android foi detectada em outubro de 2021 em um telefone Samsung atualizado executando a vers\u00e3o mais recente do Chrome. Ele juntou duas falhas, CVE-2021-38003 e CVE-2021-1048, para escapar da sandbox e comprometer o sistema injetando c\u00f3digo malicioso em processos privilegiados.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O Google TAG apontou que, embora o CVE-2021-1048 tenha sido corrigido no kernel Linux em setembro de 2020, ele n\u00e3o foi retroportado para o Android at\u00e9 o ano passado, pois a <\/span><span>corre\u00e7\u00e3o<\/span><span> n\u00e3o foi marcada como um problema de seguran\u00e7a.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;Os invasores est\u00e3o procurando ativamente e lucrando com essas vulnerabilidades corrigidas lentamente&#8221;, informaram os pesquisadores.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>\u201cEnfrentar as pr\u00e1ticas prejudiciais do setor de vigil\u00e2ncia comercial exigir\u00e1 uma abordagem robusta e abrangente que inclua a coopera\u00e7\u00e3o entre equipes de intelig\u00eancia de amea\u00e7as, defensores de rede, pesquisadores acad\u00eamicos e plataformas de tecnologia\u201d.<\/span><\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de: <a href=\"https:\/\/thehackernews.com\/2022\/05\/cytroxs-predator-spyware-target-android.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2022\/05\/cytroxs-predator-spyware-target-android.html\u00a0<\/a> (Autor: <span class=\"author\">Ravie Lakshmanan<\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Spyware Predator da Cytrox direcionado a usu\u00e1rios do Android com exploits de Zero-Day \u00a0 O Grupo de An\u00e1lise de Amea\u00e7as do Google (TAG) apontou na quinta-feira o dedo para um desenvolvedor de spyware da Maced\u00f4nia do Norte chamado Cytrox por desenvolver explora\u00e7\u00f5es contra cinco falhas de dia zero (tamb\u00e9m conhecidas como Zero-Day), quatro no Chrome [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19503,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19502","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19502"}],"version-history":[{"count":1,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19502\/revisions"}],"predecessor-version":[{"id":19504,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19502\/revisions\/19504"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19503"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}