Cytrox'un Casus Yazılımları Android Kullanıcılarına Sıfır Gün İstismarlarıyla Saldırıyor

Google News Abone Ol

Cytrox'un Casus Yazılımları Android Kullanıcılarına Sıfır Gün İstismarlarıyla Saldırıyor

TAG tarafından Perşembe günü yapılan bir analizde, Kuzey Makedonyalı bir casus yazılım geliştiricisi olan Cytrox tarafından istismar edilen beş sıfır gün güvenlik açığının bir listesi yayınlandı.

Bu beş sıfır gün güvenlik açığından dördü Chrome'da ve biri Android'de bulundu. Bu sıfır gün güvenlik açıkları Android kullanıcılarını hedef alıyor.

Bu, Citros'un istismar sattığı iddia edilen ülkelerin bir listesini içerir ve bunları aşağıda listelenenler de dahil olmak üzere hükümet destekli aktörlere satmak üzere paketlemiştir:

  • Mısır
  • Ermenistan
  • Yunanistan
  • Madagaskar
  • Fildişi Sahili
  • Sırbistan
  • İspanya
  • Endonezya

Predator, NSO Group'tan Pegasus'a benzeyen ticari gözetim şirketinden bir implanttır. En önemli başarılarından biri, müşterilerinin iOS ve Android cihazlara kolaylıkla nüfuz etmelerini sağlayan araçlar geliştirmesidir.

Aralık 2021'de Meta Platformları, şirketin uzlaşma kampanyalarının bir parçası olarak kullandığı Facebook ve Instagram'daki yaklaşık 300 hesabı kaldırmak için harekete geçtiğini açıkladı.

Tespit Edilen Kusurlar

Aşağıdakiler, Chrome ve Android'de istismar edilen beş sıfır gün güvenlik açığının ayrıntılarıdır:

  • CVE-2021-37973: Portallar API'sinde ücretsiz kullanım süresidir.
  • CVE-2021-37976: Çekirdekte bir bilgi sızıntısı.
  • CVE-2021-38000: Amaçlar'daki güvenilmeyen girişlerin yetersiz doğrulanmasıdır.
  • CVE-2021-38003: V8'de uygunsuz bir uygulamadır.
  • CVE-2021-1048: Android çekirdeğinde ücretsiz kullanımdan sonra kullanılır.

Teknik Analiz

Genel bir kural olarak, her üç kampanya da, kullanıcıların tıklaması gereken tek seferlik bir bağlantıda taklit edilen sahte URL kısaltıcı hizmetleri içeren bir mızrak kimlik avı e-postasıyla başladı.

Sahte URL'ler, açıklardan yararlanma girişimlerinin uygulanacağı özgün bir siteye yönlendirmeden önce açıkları bırakan sahte bir etki alanına yönlendirerek hedeflere saldırır.

Araştırmacılar, operasyonun nihai amacının, Predator'ın yüklendiği zamanın başlangıcı olan virüslü Android cihazlarda dağıtılan "ALIEN" adlı kötü amaçlı yazılıma sahip olmak olduğunu değerlendirdi.

Ses kaydetmeye, CA sertifikaları eklemeye ve algılamadan kaçınmak için uygulamaları gizlemeye ek olarak, bu "basit" kötü amaçlı yazılım, bir IPC mekanizması üzerinden Predator çalıştıran bir sistemde çalışır.

Ağustos 2021'in başında, üç kampanyadan ilki gerçekleştirildi. CVE-2021-3810'dan yararlanan saldırgan, Google Chrome'u Samsung Galaxy S21'in İnternet tarayıcısında, tarayıcı bu URL'yi Google Chrome'dan yüklemeye zorlandığı için kullanıcının etkileşime girmesine gerek kalmadan başka bir URL yüklemeye zorlayabildi.

Bir ay sonra, en son yazılım güncellemesini çalıştıran bir Samsung Galaxy S10'da gerçekleşen başka bir saldırıda, Chrome sanal alanını atlamak ve CVE-2021-37973 ve CVE-2021-37976'dan yararlanan bir kaçış mekanizması aracılığıyla arka kapıyı yüklemek için bir istismar zinciri kullanıldı.

Ekim 2021'de, Chrome'un güncel olan en son sürümünü çalıştıran bir Samsung telefonunun üçüncü kampanyayı yürüttüğü tespit edildi. Ayrıcalıklı işlemlere kötü amaçlı kod enjekte etmek, korumalı alandan kaçmayı ve aşağıdaki güvenlik açıklarından yararlanarak sistemin güvenliğini tehlikeye atmayı nasıl başardı:

  • CVE-2021-38003
  • CVE-2021-1048

Google'daki Chrome ve Android ekipleri, bu güvenlik açıklarına yanıt verme ve yama yapma hızları için övgüyle karşılanmalıdır.

Şu anda, Google'ın TAG'i, farklı seviyelerde karmaşıklık veya kamuya açık maruz kalma ile devlet destekli aktörlere istismar ve gözetim teknolojileri satan 30'dan fazla satıcıyı izlemeye devam ediyor.

Ticari gözetim endüstrisindeki zararlı uygulamalarla başa çıkmak için sadece ortaklıkları değil, aynı zamanda işbirliğini de içeren kapsamlı, sağlam ve işbirlikçi bir yaklaşım gerekecektir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url