L’anno scorso una società di sorveglianza privata dannosa ha venduto l’accesso a quasi una mezza dozzina di importanti falle di sicurezza in Chrome e Android ad hacker affiliati al governo, ha rivelato Google.
Secondo il Threat Analysis Group (TAG) di Google, almeno otto governi in tutto il mondo hanno acquistato una serie di 5 difetti Android zero-day da un’azienda chiamata Cytrox e li stanno utilizzando per installare spyware sui dispositivi. telefoni cellulari dei loro bersagli. Secondo un recente rapporto di Google, questo sviluppo mette in evidenza la sofisticatezza delle offerte di sorveglianza disponibili sul mercato.
Questi difetti sono quindi probabilmente tra i 58 difetti zero-day che Google aveva identificato nel 2021. Tuttavia, come sottolinea Maddie Stone in un recente aggiornamento di Project Zero di Google, “il forte aumento dei difetti zero-day in natura nel 2021 è dovuto a un maggiore rilevamento e divulgazione di questi difetti di 0 giorni, piuttosto che solo a un aumento del loro utilizzo”.
In che modo Cytrox ha installato lo spyware sui telefoni delle vittime?
Sebbene non sappiamo molto dell’azienda Cytrox, i ricercatori hanno rivelato che la sede centrale è a Skopje, nella Macedonia del Nord, e che lo spyware utilizzato dall’azienda è in grado di registrare dati audio, aggiungere certificati CA e nascondere applicazioni.
Secondo Google, alle vittime sono stati inviati via email dei link a un sito web fasullo che installava uno spyware chiamato Predator, un programma simile a Pegasus di NSO Group, in grado di attivare il microfono e compiere altri atti di monitoraggio indesiderato. Oltre ad ascoltare le conversazioni, il malware Cytrox può anche dirottare i registri delle chiamate e i messaggi di testo, monitorando le notifiche per eludere il rilevamento.
Secondo quanto riferito, Cytrox ha confezionato scappatoie per accedere agli smartphone Android e li ha venduti a vari attori sostenuti dal governo in Egitto, Armenia, Grecia, Madagascar, Costa d’Avorio, Serbia, Spagna e Indonesia, che a loro volta hanno utilizzato i bug in almeno tre diverse campagne tra agosto e ottobre 2021.
Nel dicembre 2021, Meta ha rivelato di aver adottato misure per rimuovere circa 300 account Facebook e Instagram utilizzati da Cytrox nelle sue campagne di compromissione.
Fonte : Google