Spyware Predator distribuído a dispositivos iOS e Android através de vulnerabilidades zero-day

Segundo o Threat Analysis Group do Google, o spyware Predator foi entregue a iPhones e dispositivos Android através vulnerabilidades de zero-day do iOS e Chrome e ataques man-in-the-middle (MitM).

Na semana passada, a Apple disponibilizou patches para três zero-day: ignorar verificação de assinatura (CVE-2023-41991); escalar privilégios locais (CVE-2023-41992); e executar código arbitrário através de uma webpage maliciosa (CVE-2023-41993). A empresa corrigiu as vulnerabilidades no iOS, macOS e outros softwares, mas afirma ter apenas conhecimento da exploração destinada a dispositivos com versões do iOS anteriores à 16.7.

O Threat Analysis Group, juntamente com o grupo Citizen Lab da Universidade de Toronto, foram os responsáveis por reportar as vulnerabilidades à Apple e revelaram que as falhas estão associadas a um ataque contra Ahmed Altantawy, um político da oposição no Egito.

A exploração foi distribuída através de um ataque MitM, que normalmente é realizado por cibercriminosos que têm muitos recursos, como grupos com patrocínio estatal. Tendo em conta que o Egito é um cliente conhecido do spyware Predator, é altamente improvável que a operação que visa o líder da oposição tenha sido conduzida sem o conhecimento das autoridades egípcias, de acordo com o Citizen Lab.

Segundo o Citizen Lab, quando Altantawy acedia a websites que utilizavam HTTP em vez de HTTPS, através da sua ligação de dados móveis Vodafone Egypt, era redirecionado para um site configurado para servir o spyware Predator. Isto permitia ao cibercriminoso interromper o tráfego do político egípcio, forçando um redireccionamento para o site malicioso.

O spyware Predator foi atribuído a duas entidades relacionadas, a Cytrox e a Intellexa, sendo a primeira conhecida pela implantação em iPhones de última geração.

“Embora haja destaque para vulnerabilidades ‘zero-click’ (bugs que não requerem interação do utilizador), esta entrega MITM também não exigia que o utilizador abrisse nenhum documento, clicasse num link específico ou atendesse qualquer chamada telefónica”, explica a Google.

Os regimes totalitários e autoritários recorrem comummente a middleboxes de gestão de tráfego para vigiar e manipular tráfego ao nível do ISP. Neste caso específico, o Citizen Lab revela que o cibercriminoso utilizou uma middlebox de injeçao, mas não conseguiram determinar se esta estava na rede da Telecom Egypt ou da Vodafone Egypt. Ainda assim, o grupo suspeita que “esteja dentro da rede da Vodafone Egypt, porque direcionar precisamente a injeção a um assinante individual da Vodafone exigiria integração com o banco de dados de assinantes da Vodafone”.

O Google verificou também uma cadeia de exploração projetada para a instalação do spyware Predator em dispositivos Android no Egito, tendo sido distribuída através de ataques MitM e de links maliciosos enviados diretamente ao alvo por mensagens SMS e Whatsapp.

Apesar de os investigadores não terem conseguido proceder à identificação de todas as vulnerabilidades envolvidas na cadeia em questão, confirmaram que esta aproveitou a vulnerabilidade CVE-2023-4762 para a execução remota de código.

Esta vulnerabilidade é do Chrome e foi corrigida pelo Google com uma atualização lançada no início de setembro, sendo que, na altura, não tinham conhecimento da exploração em questão. A empresa acredita, no entanto, que a CVE-2023-4762 terá sido explorada como um zero-day antes do lançamento desta atualização.

O Google verificou ainda que o navegador Chrome possui um recurso designado HTTP-First mode, que tenta atualizar as webpages de forma automática para HTTPS.