Android内核曝零日漏洞，间谍软件Predator利用漏洞跟踪窃听

最近的网络安全研究中，谷歌威胁分析团队发现间谍软件开发商 Cytrox 开发了针对谷歌旗下5个零日漏洞的恶意程序，这些零日漏洞中有4个在Chrome浏览器中，1个在Android操作系统中。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该间谍软件中利用了多个零日漏洞和N日漏洞，开发人员利用了Android漏洞补丁在整个安卓生态中同步修复的时间差，目前 Cytrox 已将这些零日漏洞打包出售给全球多个黑客组织。

Cytrox商业监控公司旗下最知名的间谍软件是Predator，它和NSO旗下闻名世界的飞马间谍软件类似，核心业务是针对Android和iOS系统开发跟踪窃听等间谍行动的恶意软件。

该5个涉及 Chrome 和 Android 的零日漏洞列表如下：

• CVE-2021-37973 – Portals API 中的释放后使用。
• CVE-2021-37976 – 核心信息泄漏。
• CVE-2021-38000 – Intents 中不受信任的输入验证不足。
• CVE-2021-38003 – V8 中的不适当实施。
• CVE-2021-1048 – Android 内核中的 Use-after-free 缺陷。

安全研究人员称，该行动的最终目标是分发一种名为 Alien 的恶意软件，它是将 Predator 间谍软件加载到受感染的 Android 设备上的跳板。Alien 恶意软件通过进程间通信 (IPC) 机制从 Predator 接收命令，旨在记录音频、添加 CA 证书并隐藏应用程序以逃避检测等。

在谷歌监测到的3个攻击活动中，第一个发生在2021年8月，通过使用Chrome浏览器作为三星Galaxy设备的攻击点，通过利用 CVE-2021-38000 漏洞在用户不知情的情况下，强制浏览器在三星浏览器中加载另一个URL。

第2个攻击活动涉及使用 CVE-2021-37973 漏洞和 CVE-2021-37976 漏洞的利用链来逃离 Chrome 沙箱，利用它释放第二个漏洞来提升权限并部署后门程序。

第3个攻击活动将两个漏洞 CVE-2021-38003 和 CVE-2021-1048 串在一起，通过将恶意代码注入特权进程来逃离沙箱并破坏系统。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，虽然 CVE-2021-1048 漏洞已于 2020 年 9 月在 Linux 内核中得到修复，但直到去年它才被反向移植到 Android 系统中，由于在复杂生态中修复所需的时间差，使得攻击者有了可乘之机并积极寻找已公开但还未修复到位的漏洞。