Des fournisseurs de logiciels espions surpris en train d’exploiter des vulnérabilités Zero-Day sur des appareils Android et iOS

29 mars 2023Ravie LakshmananZero-Day / Sécurité mobile

Un certain nombre de vulnérabilités zero-day qui ont été corrigées l’année dernière ont été exploitées par des fournisseurs de logiciels espions commerciaux pour cibler les appareils Android et iOS, a révélé le Threat Analysis Group (TAG) de Google.

Les deux campagnes distinctes étaient à la fois limitées et très ciblées, profitant de l’écart de correctifs entre la publication d’un correctif et le moment où il a été effectivement déployé sur les appareils ciblés.

« Ces fournisseurs permettent la prolifération d’outils de piratage dangereux, armant les gouvernements qui ne seraient pas en mesure de développer ces capacités en interne », a déclaré Clément Lecigne de TAG. a dit dans un nouveau rapport.

« Bien que l’utilisation des technologies de surveillance puisse être légale en vertu des lois nationales ou internationales, elles sont souvent utilisées par les gouvernements pour cibler les dissidents, les journalistes, les défenseurs des droits de l’homme et les politiciens des partis d’opposition. »

La première des deux opérations a eu lieu en novembre 2022 et consistait à envoyer des liens raccourcis par SMS à des utilisateurs situés en Italie, en Malaisie et au Kazakhstan.

En cliquant, les URL redirigeaient les destinataires vers des pages Web hébergeant des exploits pour Android ou iOS, avant d’être à nouveau redirigés vers des sites Web légitimes d’actualités ou de suivi des expéditions.

La chaîne d’exploitation iOS a exploité plusieurs bogues, dont CVE-2022-42856 (alors zero-day), CVE-2021-30900et un code d’authentification de pointeur (PAC) contournepour installer un Fichier .IPA sur l’appareil sensible.

La chaîne d’exploits Android comprenait trois exploits : CVE-2022-3723, CVE-2022-4135 (un jour zéro au moment de l’abus) et CVE-2022-38181 – pour livrer une charge utile non spécifiée.

Alors que CVE-2022-38181, un bogue d’escalade de privilèges affectant Mali GPU Kernel Driver, a été corrigé par Arm en août 2022, on ne sait pas si l’adversaire était déjà en possession d’un exploit pour la faille avant la publication du correctif.

Un autre point à noter est que les utilisateurs d’Android qui ont cliqué sur le lien et l’ont ouvert dans le navigateur Internet Samsung ont été redirigés vers Chrome à l’aide d’une méthode appelée redirection d’intention.

La deuxième campagne, observée en décembre 2022, consistait en plusieurs jours zéro et jours n ciblant la dernière version du navigateur Internet Samsung, les exploits étant livrés sous forme de liens uniques via SMS vers des appareils situés aux Émirats arabes unis.

La page Web, similaire à celles utilisées par la société espagnole de logiciels espions Variston IT, a finalement implanté une boîte à outils malveillante basée sur C++ capable de récolter des données à partir d’applications de chat et de navigateur.

Les failles exploitées constituent CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266et CVE-2023-26083. La chaîne d’exploitation aurait été utilisée par un client ou un partenaire de Variston IT.

Cela dit, l’ampleur des deux campagnes et la nature des cibles sont actuellement inconnues.

Les révélations surviennent quelques jours seulement après que le gouvernement américain a annoncé un décret interdisant aux agences fédérales d’utiliser des logiciels espions commerciaux qui présentent un risque pour la sécurité nationale.

« Ces campagnes nous rappellent que l’industrie des logiciels espions commerciaux continue de prospérer », a déclaré Lecigne. « Même les plus petits fournisseurs de surveillance ont accès aux vulnérabilités zero-day, et les fournisseurs qui stockent et utilisent secrètement les vulnérabilités zero-day présentent un risque grave pour Internet. »

« Ces campagnes peuvent également indiquer que des exploits et des techniques sont partagés entre les fournisseurs de surveillance, permettant la prolifération d’outils de piratage dangereux. »