Skip to content

Gepackte Zero-Day-Schwachstellen auf Android, die für Cyber-Überwachungsangriffe verwendet werden

Ein kommerzielles Überwachungsunternehmen, das zuvor für den Verkauf eines Spyware-Dienstes namens „Predator“ aufgedeckt wurde, zielt weiterhin auf Benutzer ab und verwendet 0-Day-Exploits, um Android-Telefone zu kompromittieren. Erfahren Sie mehr darüber, wie Sie sich davor schützen können.

Bild: Marcos Silva/Adobe Stock

Ein neuer Bericht der Threat Analysis Group von Google deckt die Verwendung von fünf verschiedenen Zero-Day-Schwachstellen auf, die auf Chrome-Browser und Android-Betriebssysteme abzielen.

Hintergrund

Google geht mit großer Zuversicht davon aus, dass diese Exploits von einem einzigen kommerziellen Überwachungsunternehmen namens Cytrox gepackt wurden.

Cytrox ist ein nordmazedonisches Unternehmen mit Stützpunkten in Israel und Ungarn, das Ende 2021 als Entwicklungs- und Wartungsunternehmen einer Spyware namens „Predator“ aufgedeckt wurde. Meta entlarvte dieses Unternehmen neben 6 anderen Unternehmen, die gemietete Überwachungsdienste anbieten, und ergriff Maßnahmen dagegen, verbot ihnen ihre Dienste und warnte verdächtige Ziele vor möglichen Kompromittierungen. 300 Facebook- und Instagram-Konten mit Bezug zu Cytrox wurden von Meta entfernt.

Die neue Recherche von Google erklärt, dass Cytrox diese neuen Exploits an von der Regierung unterstützte Akteure verkauft, die sie dann in drei verschiedenen Angriffskampagnen eingesetzt haben. Diejenigen Akteure, die die Cytrox-Dienste gekauft haben, befinden sich in Ägypten, Armenien, Griechenland, Madagaskar, Côte d’Ivoire, Serbien, Spanien und Indonesien.

SEHEN: Sicherheitsrichtlinie für Mobilgeräte (Tech Republic Premium)

Drei fortlaufende Kampagnen, die die Exploits verpacken

Die drei Kampagnen, die vom TAG-Team von Google vorgestellt werden, beginnen alle mit der Bereitstellung pünktlicher Links, die URL-Kürzungsdienste imitieren. Diese werden per E-Mail an die Ziel-Android-Benutzer gesendet. Nach dem Anklicken führte der Link das ahnungslose Ziel zu einer Domain des Angreifers, die die Exploits lieferte, bevor dem Ziel eine legitime Website angezeigt wurde.

Die letzte Nutzlast namens ALIEN ist eine einfache Android-Malware, die zum Laden und Ausführen von PREDATOR, der Cytrox-Malware der Wahl, verwendet wird.

In Bezug auf das Targeting waren alle drei Kampagnen niedrig, was bedeutet, dass jede Kampagne nur etwa zehn Benutzer anvisierte.

Erste Kampagne: Exploits CVE-2021-38000

Diese im August 2021 entdeckte Kampagne zielte auf Chrome auf einem Samsung Galaxy-Smartphone ab. Der von den Angreifern gesendete Link, der einmal mit Chrome geöffnet wurde, führte zu einem Logikfehlermissbrauch, der Chrome zwang, eine andere URL in den Samsung-Browser zu laden, auf dem eine ältere und anfällige Version von Chromium lief.

Diese Schwachstelle wurde wahrscheinlich ausgenutzt, weil die Angreifer keine Exploits für die Chrome-Version auf diesem Telefon (91.0.4472) hatten. Laut Google wurde es von einem Exploit-Broker verkauft und wahrscheinlich von mehreren Überwachungsanbietern missbraucht.

Zweite Kampagne: Chrome Sandbox

Genau wie bei der ersten Kampagne zielte auch diese zweite auf ein Samsung Galaxy ab. Das Telefon war auf dem neuesten Stand und lief mit der neuesten Chrome-Version. Die Analyse des Exploits identifizierte zwei verschiedene Chrome-Schwachstellen, CVE-2021-37973 und CVE-2021-37976.

Nachdem die Sandbox-Flucht erfolgreich war, lud der Exploit einen weiteren Exploit herunter, um die Benutzerrechte zu erhöhen und das Implantat zu installieren. Eine Kopie des Exploits konnte nicht abgerufen werden.

Dritte Kampagne: Vollständiger Zero-Day-Exploit für Android

Diese im Oktober 2021 entdeckte Kampagne löste einen Full-Chain-Exploit von einem aktuellen Samsung-Smartphone aus, auf dem erneut die neueste Version von Chrome ausgeführt wurde.

Zwei Zero-Day-Exploits wurden verwendet, CVE-2021-38003 und CVE-2021-1048, um es den Angreifern zu ermöglichen, ihre endgültige Nutzlast zu installieren.

Problem beim Patchen aufgetreten

CVE-2021-1048, das es einem Angreifer ermöglicht, der Chrome-Sandbox zu entkommen und das System zu kompromittieren, indem er Code in privilegierte Prozesse einschleust, wurde im September 2020 im Linux-Kernel behoben, etwa ein Jahr vor der von Google entdeckten Angriffskampagne.

Der Commit für diese Schwachstelle wurde nicht als Sicherheitsproblem gekennzeichnet, was dazu führte, dass der Patch nicht in die meisten Android-Kernel zurückportiert wurde. Ein Jahr nach dem Fix waren alle Samsung-Kernel anfällig, und wahrscheinlich waren noch viele weitere Smartphone-Marken mit Android-Systemen betroffen. LTS-Kernel, die auf Pixel-Telefonen ausgeführt werden, waren neu genug und enthielten den Fix für die Schwachstelle.

Google hebt hervor, dass es nicht das erste Mal ist, dass ein solcher Vorfall passiert ist, und nennt ein weiteres Beispiel – die Schwachstelle Bad Binder im Jahr 2019.

Dieses Problem beim Backportieren einiger Patches ist für Angreifer profitabel, die aktiv nach langsam behobenen Schwachstellen suchen.

Mehr als Cytrox in freier Wildbahn

Google gibt an, dass sie derzeit mehr als 30 Anbieter mit unterschiedlichem Niveau an Erfahrung und öffentlicher Bekanntheit verfolgen, die Exploits oder Überwachungsfunktionen an von der Regierung unterstützte Akteure verkaufen, und werden die Community weiterhin auf dem Laufenden halten, wenn sie diese Kampagnen aufdecken.

Diese Arten von kommerziellen Unternehmen haben im Allgemeinen komplexe Eigentumsstrukturen, schnelles Rebranding und Allianzen mit Partnern im Finanzbereich, die es schwieriger machen, sie zu untersuchen, aber es ist immer noch möglich, ihre Spyware in Unternehmensnetzwerken zu entdecken.

Wie können Sie sich vor dieser Bedrohung schützen?

Bedrohungen auf Android-Telefonen sind schwerer zu erkennen als auf Laptops, da Smartphones im Vergleich zu Computern häufig nicht sicher genug sind.

Zunächst einmal sollten das Betriebssystem und alle Anwendungen immer auf dem neuesten Stand und gepatcht sein.

Sicherheitstools sollten auf Smartphones bereitgestellt werden, und die Installation unnötiger Anwendungen auf den Geräten sollte verboten werden, zusätzlich zum Verbot der Installation von Anwendungen Dritter, die aus unzuverlässigen Quellen stammen.

Die Berechtigungen jeder Anwendung sollten sorgfältig geprüft werden, insbesondere bei der Installation einer neuen. Benutzer sollten besonders vorsichtig sein, wenn sie Anwendungen installieren, die Rechte zum Manipulieren von SMS oder zum Aufzeichnen von Audio anfordern, was ein Warnzeichen für Spyware sein kann.

Offenlegung: Ich arbeite für Trend Micro, aber die in diesem Artikel geäußerten Ansichten sind meine.

Leave a Reply

Your email address will not be published.