Em novembro de 2022, o Google revelou a existência de um fornecedor de spyware então desconhecido chamado Variston. Agora, os pesquisadores do Google dizem ter visto hackers usarem as ferramentas de Variston nos Emirados Árabes Unidos.
Em um relatório publicado na quarta-feira , o Threat Analysis Group (TAG) do Google disse que descobriu hackers visando pessoas nos Emirados Árabes Unidos que usavam o navegador Android nativo da Samsung, que é uma versão personalizada do Chromium. Os hackers usaram um conjunto de vulnerabilidades encadeadas e entregues por meio de links da web enviados uma única vez aos alvos por mensagem de texto. Das quatro vulnerabilidades na cadeia, duas eram de dia zero no momento do ataque, o que significa que não haviam sido relatadas ao fabricante do software e eram desconhecidas naquele momento, de acordo com a nova postagem no blog da TAG.
Se um alvo clicasse nos links da Web maliciosos, eles seriam direcionados para uma página de destino “idêntica à TAG examinada na estrutura Heliconia desenvolvida pelo fornecedor comercial de spyware Variston”. (Ambas as campanhas usaram a mesma página de destino exata e única, disse o Google ao TechCrunch. Uma vez explorada, a vítima teria sido infectada com “um pacote completo de spyware para Android” projetado para capturar dados de aplicativos de bate-papo e navegador, de acordo com a postagem.
“O ator que usa a cadeia de exploração para atingir os usuários dos Emirados Árabes Unidos pode ser um cliente ou parceiro da Variston ou, de outra forma, trabalhar em estreita colaboração com o fornecedor do spyware”, dizia o post do blog.
Não está claro quem está por trás da campanha de hacking ou quem são as vítimas. Um porta-voz do Google disse ao TechCrunch que o TAG observou cerca de 10 links maliciosos na web. Alguns dos links foram redirecionados para o StackOverflow após a exploração e podem ter sido os dispositivos de teste do invasor, disse o Google. A TAG disse que não estava claro quem estava por trás da campanha de hackers.
O porta-voz da Samsung, Chris Langlois, disse que a empresa “já tomou as medidas necessárias para evitar essas possíveis cadeias de exploração, emitindo patches para o aplicativo Samsung Internet em dezembro de 2022”.
“As atualizações de dezembro para o aplicativo Samsung Internet desativam os pontos de entrada para as vulnerabilidades restantes e garantem a proteção dos dispositivos. Estamos colaborando ativamente com nossos parceiros para lançar patches para as vulnerabilidades restantes o mais cedo possível, a partir de abril, e recomendamos que todos os usuários mantenham seus dispositivos atualizados com o software mais recente para garantir o mais alto nível de proteção possível”, disse Langlois.
Ralf Wegener e Ramanan Jayaraman são os fundadores da Variston, de acordo com o Intelligence Online , uma publicação de notícias online que cobre o setor de vigilância. Os dois possuíam metade da empresa cada um em 2018, de acordo com registros comerciais espanhóis.
Nenhum dos fundadores respondeu a um pedido de comentário. A Variston está sediada em Barcelona, Espanha. De acordo com registros de registro de empresas na Itália, a Variston adquiriu a empresa italiana de pesquisa de dia zero Truel em 2018.
A campanha de hackers nos Emirados Árabes Unidos foi descoberta pelo Laboratório de Segurança da Anistia Internacional. Em comunicado à imprensa , a Anistia disse que a campanha está ativa desde pelo menos 2020 e tem como alvo celulares e computadores. A Anistia disse que observou as explorações sendo entregues por uma rede de mais de 1.000 domínios maliciosos, “incluindo domínios que falsificam sites de mídia em vários países”. A organização também disse ter observado vestígios da campanha na Indonésia, Bielo-Rússia, Emirados Árabes Unidos e Itália, mas esses países “provavelmente representam apenas um pequeno subconjunto da campanha geral de ataque com base na natureza extensa da infraestrutura de ataque mais ampla”.
O Google também disse na quarta-feira que descobriu hackers explorando um bug de dia zero do iOS, corrigido em novembro , para plantar remotamente spyware nos dispositivos dos usuários. Os pesquisadores dizem que observaram invasores abusando da falha de segurança como parte de uma cadeia de exploração visando proprietários de iPhone executando iOS 15.1 e mais antigos localizados na Itália, Malásia e Cazaquistão.
A falha foi encontrada no mecanismo do navegador WebKit que alimenta o Safari e outros aplicativos, e foi descoberta e relatada pela primeira vez por pesquisadores do Google TAG. A Apple corrigiu o bug em dezembro, confirmando na época que a empresa estava ciente de que a vulnerabilidade era explorada ativamente “contra versões do iOS lançadas antes do iOS 15.1”.
Os hackers também usaram uma segunda vulnerabilidade do iOS descrita como uma técnica de desvio de PAC que foi corrigida pela Apple em março de 2022, que os pesquisadores do Google dizem ser a técnica exata usada pelo desenvolvedor de spyware da Macedônia do Norte Cytrox para instalar seu spyware Predator. O Citizen Lab divulgou anteriormente um relatório destacando o uso generalizado do spyware Predator pelo governo .
O Google também observou hackers explorando uma cadeia de três bugs do Android direcionados a dispositivos que executam um chip gráfico baseado em ARM, incluindo um dia zero. O Google disse que o ARM lançou uma correção, mas vários fornecedores – incluindo Samsung, Xiaomi, Oppo e o próprio Google – não incorporaram o patch, resultando em “uma situação em que os invasores puderam explorar livremente o bug por vários meses”, disse o Google.
A descoberta dessas novas campanhas de hackers é “um lembrete de que a indústria de spyware comercial continua a prosperar, diz o Google. “Mesmo fornecedores de vigilância menores têm acesso a 0 dias, e os fornecedores que armazenam e usam vulnerabilidades de 0 dias em segredo representam um risco grave para a Internet.”
“Essas campanhas também podem indicar que explorações e técnicas estão sendo compartilhadas entre fornecedores de vigilância, permitindo a proliferação de ferramentas perigosas de hackers”, dizia o blog.
Fonte leia mais: https://techcrunch.com/2023/03/29/hackers-variston-spyware-uae-google/
