Google опубликовала отчёт о недавно обнаруженной кампании по распространению шпионского ПО. По информации команды Threat Analysis Group (TAG) Google, группировка Cytrox использовала уязвимости нулевого дня в браузере Chrome и в ОС Android для внедрения ПО Predator.
TAG сообщает, что Cytrox использовала четыре уязвимости нулевого дня для браузера Chrome CVE-2021-38000, CVE-2021-37973, CVE-2021-37976 и CVE-2021-38003 ) и одну для Android ( CVE-2021-1048 ). Также в ходе кампаний использовались уязвимости, для которых исправления уже выпущены, но их ещё не успели полностью развернуть в экосистеме Android.
Cytrox работает следующим образом: группировка распространяет по электронной почте ссылку, направляющую жертву на домен злоумышленника, с которого на его телефон установится вредоносная программа для Android под названием Alien. Эта программа затем загружает шпионское ПО Predator, способное, например, скрывать приложения и записывать звук.
Эта техника, по сведениям команды TAG, уже применялась против журналистов, политических активистов, чиновников и т. д. В этом случае исследователи обнаружили, что шпионское ПО использовалось в Египте, Армении, Греции, Мадагаскаре, Кот-д'Ивуаре, Сербии, Испании и Индонезии.
TAG отмечает, что кампания не завершена, и стоит ожидать новых атак. Кроме того, эксперты отмечают высокий уровень частных компаний в области разработки ПО для наблюдения. По сообщению TAG, сегодня существует более 30 частных фирм, которые продают эксплоиты и шпионское ПО различным правительствам.