监控软件厂商勾结互联网服务提供商感染iOS和安卓用户
编译:代码卫士
谷歌威胁分析团队 (TAG) 披露称,意大利监控软件厂商 RCS Labs 在某些互联网服务提供商 (ISPs) 的协助下,通过商用监控软件感染位于意大利和哈萨克斯坦的安卓和iOS 用户。
KCS Labs 仅仅是谷歌最近追踪的30多家监控软件厂商之一。谷歌指出,在使用路过时下载感染多个客户的攻击活动中,目标的互联网连接被ISP切断后,攻击者提示目标安装恶意应用才能恢复网络。
谷歌在报告中指出,“在某些情况下,我们认为攻击者和为目标服务的ISP勾结来禁用目标的移动数据连接。禁用后,攻击者将通过SMB发送恶意链接,要求目标安装应用恢复数据连接。” 如果二者不是直接协作,则攻击者将恶意应用伪装成通讯应用,通过虚构的支持页面向目标推送,声称可帮助恢复 Facebook、Instagram或WhatsApp 的吊销账户。
然而,虽然Facebook 和 Instagram 的链接可使目标安装官方应用,但WhatsApp 的链接会诱骗目标下载恶意版本的WhatsApp。
监控利用多个exploit,不乏0day
谷歌表示,部署在受害者设备上的恶意应用无法在苹果或谷歌应用商店中找到。然而,攻击者侧加载该 iOS 版本(以企业证书签名)并要求目标从不明来源启用应用安装。
攻击中出现的该iOS app包含多个内置利用,可使攻击者在受攻陷设备上提权并窃取文件。报告指出,“它包含一个通用的提权利用封装,用于六个 exploit 中。它还包含一个最低限代理,可以从设备中提取相关文件如 WhatsApp 数据库等。”
它共绑定了六个不同的exploit:
CVE-2018-4344 内外统称为“LightSpeed”。
CVE-2019-8605 内部称为 “SockPort2”,公开称为“SockPuppet”。
CVE-2020-3837 内外统称为“TimeWaste”。
CVE-2020-9907 内部称为“AveCesare”。
CVE-2021-30883 内部称为“Clicked2”,2021年10月苹果称已遭在野利用。
CVE-2021-30983 内部称为“Clicked3”,苹果公司在2021年12月修复。
报告指出,“2021年以前使用的所有exploit都基于越狱社区编写的公开利用。在发现时我们认为CVE-2021-30883和CVE-2021-30983还是0day。“另一方面,恶意安卓app 中并未绑定利用。不过它仍然能够使用 DexClassLoader API 下载并执行其它模块。
某些受害者获悉设备遭攻陷
谷歌提醒安卓受害者称,其设备遭入侵并受监控软件“Hermit”的感染。”Hermit” 是 Lookout 公司对该植入的命名。Lookout 公司指出,Hermit时“模块化监控软件”,可“录制音频并且拨打且重定向电话号码,以及收集数据如通话日志、联系人、照片、设备位置以及短信。”
谷歌还禁用了攻击者使用的 Firebase 项目,该项目被用于设立命令和控制基础设施。5月份,谷歌TAG暴露了另外一起攻击活动,国家黑客阻止利用五个0day安装由商用监控开发者 Cytrox 开发的 Predator 监控软件。谷歌当时表示,“TAG 正在积极追踪30多个厂商,它们的复杂度不一,向受政府支持的黑客组织出售利用或监控能力的公开暴露程度也各不相同。”
PHP包管理器PEAR 中爆多个缺陷可发动供应链攻击,已潜伏15年
PHP修复输入验证代码中的漏洞
漏洞10年深藏不露,PHP 项目依赖关系管理工具Composer安全吗?
PHP Everywhere 插件中存在严重RCE,影响数千个 WordPress 站点
https://www.bleepingcomputer.com/news/security/spyware-vendor-works-with-isps-to-infect-ios-and-android-users/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。