Google expone el uso de cinco vulnerabilidades zero-day en Chrome y Android
Un nuevo informe del Grupo de Análisis de Amenazas de Google expone el uso de cinco vulnerabilidades zero-day diferentes que apuntan al navegador Chrome y al sistema operativo Android.
- Antecedentes
- Tres campañas en curso que empaquetan las explotaciones
- Primera campaña: Explotación CVE-2021-38000
- Segunda campaña: Sandbox de Chrome
- Tercera campaña: Explotación de día cero completa de Android
- Problema planteado por el parcheo
- Más que Cytrox en el mundo
- ¿Cómo protegerse de esta amenaza?
Antecedentes
Google evalúa con alta confianza que estas explotaciones han sido empaquetadas por una única empresa de vigilancia comercial llamada Cytrox.
Cytrox es una empresa de Macedonia del Norte con bases en Israel y Hungría que fue expuesta a finales de 2021 por ser la empresa desarrolladora y mantenedora de un spyware llamado "Predator". Meta también expuso esa empresa, junto con otras 6 empresas que ofrecen servicios de vigilancia a cambio de dinero, y tomó medidas en su contra, prohibiéndoles sus servicios mientras alertaba a los posibles objetivos sobre posibles compromisos. Meta ha eliminado 300 cuentas de Facebook e Instagram relacionadas con Cytrox.
La nueva investigación de Google explica que Cytrox vende estas nuevas explotaciones a actores respaldados por gobiernos, quienes luego las utilizan en tres campañas de ataque diferentes. Los actores que compraron los servicios de Cytrox se encuentran en Egipto, Armenia, Grecia, Madagascar, Costa de Marfil, Serbia, España e Indonesia.
Tres campañas en curso que empaquetan las explotaciones
Las tres campañas expuestas por el equipo de TAG de Google comienzan todas entregando enlaces en tiempo real que imitan servicios de acortamiento de URL. Estos se envían a los usuarios de Android objetivo por correo electrónico. Una vez que se hace clic en el enlace, este lleva al objetivo desprevenido a un dominio de propiedad del atacante que entrega las explotaciones antes de mostrar un sitio web legítimo al objetivo.
La carga útil final, llamada ALIEN, es un malware simple de Android utilizado para cargar y ejecutar PREDATOR, el malware elegido por Cytrox.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelEn términos de objetivos, todas las campañas tuvieron un alcance bajo, lo que significa que cada campaña tuvo como objetivo solo a decenas de usuarios.
Primera campaña: Explotación CVE-2021-38000
Esta campaña, descubierta en agosto de 2021, se dirigió a Chrome en un teléfono inteligente Samsung Galaxy. El enlace enviado por los atacantes, una vez abierto con Chrome, llevaba a un abuso de una falla lógica que obligaba a Chrome a cargar otra URL en el navegador de Samsung, que tenía una versión más antigua y vulnerable de Chromium.
Probablemente se explotó esa vulnerabilidad porque los atacantes no tenían explotaciones para la versión de Chrome en ese teléfono (91.0.4472). Según Google, fue vendido por un intermediario y probablemente abusado por varios proveedores de vigilancia.
Segunda campaña: Sandbox de Chrome
Al igual que en la primera campaña, esta segunda también se dirigió a un Samsung Galaxy. El teléfono estaba totalmente actualizado y ejecutaba la última versión de Chrome. El análisis de la explotación identificó dos vulnerabilidades diferentes de Chrome, CVE-2021-37973 y CVE-2021-37976.
Después de que la fuga de la sandbox tuvo éxito, la explotación descargó otra explotación para elevar los privilegios de los usuarios e instalar el implante. No se pudo obtener una copia de la explotación.
Tercera campaña: Explotación de día cero completa de Android
Esa campaña detectada en octubre de 2021 desencadenó una explotación completa de cadena desde un teléfono inteligente Samsung actualizado que nuevamente ejecutaba la última versión de Chrome.
Cómo proteger tu computadora de los virus: métodos y consejosSe utilizaron dos explotaciones zero-day, CVE-2021-38003 y CVE-2021-1048, para permitir a los atacantes instalar su carga útil final.
Problema planteado por el parcheo
CVE-2021-1048, que permite a un atacante escapar de la sandbox de Chrome y comprometer el sistema inyectando código en procesos privilegiados, fue corregido en el kernel de Linux en septiembre de 2020, aproximadamente un año antes de la campaña de ataque descubierta por Google.
El commit para esa vulnerabilidad no fue marcado como un problema de seguridad, lo que resultó en que el parche no se retrocediera en la mayoría de los kernels de Android. Un año después de la corrección, todos los kernels de Samsung eran vulnerables, y es probable que muchos más fabricantes de teléfonos inteligentes que ejecutan sistemas Android también se vieron afectados. Los kernels LTS que se ejecutan en teléfonos Pixel fueron lo suficientemente recientes y se incluyó la corrección para la vulnerabilidad.
Google destaca que no es la primera vez que ocurre un incidente similar y menciona otro ejemplo: la vulnerabilidad Bad Binder en 2019.
Este problema de retroceder algunos parches es rentable para los atacantes que están buscando activamente vulnerabilidades que se solucionan lentamente.
Más que Cytrox en el mundo
Google afirma que actualmente están rastreando a más de 30 proveedores con diferentes niveles de sofisticación y exposición pública que venden explotaciones o capacidades de vigilancia a actores respaldados por el gobierno, y seguirán actualizando a la comunidad a medida que descubran esas campañas.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasEstos tipos de entidades comerciales por lo general tienen estructuras de propiedad complejas, se rebrandean rápidamente y tienen alianzas con socios en el campo financiero que dificultan su investigación, pero aún es posible detectar su software espía en redes corporativas.
¿Cómo protegerse de esta amenaza?
Las amenazas en los teléfonos Android son más difíciles de detectar que en las computadoras porque los teléfonos inteligentes a menudo carecen de seguridad en comparación con las computadoras.
En primer lugar, el sistema operativo y todas las aplicaciones siempre deben estar actualizados y parcheados.
Se deben implementar herramientas de seguridad en los teléfonos inteligentes y se debe prohibir la instalación de aplicaciones innecesarias en los dispositivos, además de prohibir la instalación de aplicaciones de terceros provenientes de fuentes no confiables.
Se deben revisar cuidadosamente los permisos de cada aplicación, especialmente al instalar una nueva. Los usuarios deben ser especialmente cautelosos al instalar aplicaciones que soliciten permisos para manipular SMS o grabar audio, ya que esto puede ser una señal de advertencia de un spyware.
Protege tus contraseñas con PAM: Tu aliado para la seguridadEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Google expone el uso de cinco vulnerabilidades zero-day en Chrome y Android , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados