Google:Predator间谍软件使用零日漏洞来感染Android设备。该活动的一部分始于2021年8月至2021年10月,攻击者利用针对Chrome和Android操作系统的零日漏洞在最新的Android设备上植入Predator间谍软件。谷歌TAG成员ClementLecigne和ChristianResell表示:“这些漏洞由商业监控公司Cytrox打包并出售给各种政府支持的参与者,这些参与者至少在三场活动中使用了它们。”购买并使用这些漏洞来感染Android目标的政府资助的恶意行为者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。这些发现与CitizenLab2021年12月关于Cytrox间谍软件的报告一致,当时其研究人员在逃亡的埃及政客AymanNour的手机上发现了该恶意工具。根据CitizenLab的评估,Nour的手机还感染了NSOGroup的Pegasus间谍软件,这两种工具由两个不同的政府客户使用。这些活动中使用的五个以前未知的零日漏洞包括:Chrome中的CVE-2021-37973、CVE-2021-37976、CVE-2021-38000、CVE-2021-38003Android中的CVE-2021-1048威胁这些零日漏洞存在于三个不同的活动中:活动#1-Chrome重定向到SBrowser(CVE-2021-38000)活动#2-Chrome沙盒逃逸(CVE-2021-37973、CVE-2021-37976)活动#3-完成Android0day漏洞利用链(CVE-2021-38003、CVE-2021-1048)谷歌TAG分析师表示,“这三个活动通过电子邮件向Android用户提供了模仿URL缩短服务的一次性链接。但它们是有限的,并且根据根据我们的评估,活跃目标的数量是同时有数十个用户。当目标用户单击时,该链接会将目标重定向到攻击者拥有的域,该域在将浏览器重定向到合法网站之前提供漏洞利用。如果链接失败,用户将被直接重定向到合法网站。这种攻击技术也被用来对付记者和其他一些谷歌用户,他们被警告要成为政府支持的攻击的目标。在这些活动中,攻击者首先安装了具有RAT功能的AndroidAlien银行木马,用于加载PredatorAndroid植入程序,并允许录制音频、添加CA证书和隐藏应用程序。这份报告是对2021年7月在Chrome、InternetExplorer和WebKit(Safari)中发现的其他四个0day漏洞分析的后续报告。正如谷歌TAG研究人员透露的那样,俄罗斯支持的政府黑客与俄罗斯外国情报局有联系(SVR)利用Safari零日漏洞攻击西欧国家政府官员的iOS设备。谷歌TAG周四补充道:“TAG正在积极跟踪30多家不同程度的成熟和公开曝光的供应商,这些供应商向政府支持的行为者出售漏洞或监控设备。”参考来源:https://www.bleepingcomputer.com/news/安全/google-predator-spyware-infected-android-devices-using-zero-days/
