Uma empresa de spyware explorou pelo menos cinco vulnerabilidades de dia zero (quatro no navegador Chrome e uma no sistema operacional Android) ao longo de 2021, segundo o Google.
O Threat Analysis Group (TAG) da empresa diz que o fabricante do spyware em questão é uma empresa da Macedônia do Norte conhecida como Cytrox. Muito pouco se sabe sobre Cytrox, mas em dezembro de 2021, o Citizen Lab da Universidade de Toronto revelado algumas informações sobre suas atividades.
O Citizen Lab diz que o Cytrox infectou dois egípcios, “o político exilado Ayman Nour e o apresentador de um programa de notícias popular (que deseja permanecer anônimo)”, com seu malware Predator em junho de 2021. Essas infecções afetaram os iPhones, mas a TAG diz que o Predator está visando telefones Android também.
TAG diz que Cytrox abusou dos quatro dias zero do Chrome (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000S CVE-2021-38003) e um único dia zero do Android (CVE-2021-1048) no ano passado em “pelo menos três campanhas” que se acredita terem sido realizadas em nome de vários governos.
Diz-se que o Cytrox aproveitou várias falhas de segurança conhecidas, também conhecidas como “n-days”, porque os patches também estão disponíveis para eles. A TAG diz que essas “descobertas ressaltam a extensão em que os provedores de vigilância comercial proliferaram recursos historicamente usados apenas por governos com experiência técnica para desenvolver e operar explorações”.
Isso é uma má notícia para empresas que precisam proteger produtos usados por centenas de milhões de pessoas. Empresas como a Cytrox estão tornando a vida cada vez mais difícil para as equipes de segurança do Google, Apple e Microsoft, e parece que não terão uma pausa tão cedo.
“Sete dos nove TAGs de 0 dias descobertos em 2021 se enquadram nesta categoria: desenvolvidos por fornecedores comerciais e vendidos e usados por atores apoiados pelo governo”, diz o Google. “A TAG está rastreando ativamente mais de 30 fornecedores com níveis variados de sofisticação e exposição pública que estão vendendo explorações ou capacidades de vigilância para atores apoiados pelo governo.”
Mais informações sobre como a Cytrox explorou essas vulnerabilidades de dia zero para infectar smartphones Android como parte de três campanhas separadas em 2021 estão disponíveis em TAG postagem do blog.