Android内核曝零日漏洞,间谍软件Predator利用漏洞跟踪窃听

Cytrox的Predator间谍软件目标Android用户具有零日的利用

最近的网络安全研究中,谷歌威胁分析团队发现间谍软件开发商 Cytrox 开发了针对谷歌旗下5个零日漏洞的恶意程序,这些零日漏洞中有4个在Chrome浏览器中,1个在Android操作系统中。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该间谍软件中利用了多个零日漏洞和N日漏洞,开发人员利用了Android漏洞补丁在整个安卓生态中同步修复的时间差,目前 Cytrox 已将这些零日漏洞打包出售给全球多个黑客组织。

Cytrox商业监控公司旗下最知名的间谍软件是Predator,它和NSO旗下闻名世界的飞马间谍软件类似,核心业务是针对Android和iOS系统开发跟踪窃听等间谍行动的恶意软件。

该5个涉及 Chrome 和 Android 的零日漏洞列表如下:

  • CVE-2021-37973 – Portals API 中的释放后使用。
  • CVE-2021-37976 – 核心信息泄漏。
  • CVE-2021-38000 – Intents 中不受信任的输入验证不足。
  • CVE-2021-38003 – V8 中的不适当实施。
  • CVE-2021-1048 – Android 内核中的 Use-after-free 缺陷。

安全研究人员称,该行动的最终目标是分发一种名为 Alien 的恶意软件,它是将 Predator 间谍软件加载到受感染的 Android 设备上的跳板。Alien 恶意软件通过进程间通信 (IPC) 机制从 Predator 接收命令,旨在记录音频、添加 CA 证书并隐藏应用程序以逃避检测等。

在谷歌监测到的3个攻击活动中,第一个发生在2021年8月,通过使用Chrome浏览器作为三星Galaxy设备的攻击点,通过利用 CVE-2021-38000 漏洞在用户不知情的情况下,强制浏览器在三星浏览器中加载另一个URL。

第2个攻击活动涉及使用 CVE-2021-37973 漏洞和 CVE-2021-37976 漏洞的利用链来逃离 Chrome 沙箱,利用它释放第二个漏洞来提升权限并部署后门程序。

第3个攻击活动将两个漏洞 CVE-2021-38003 和 CVE-2021-1048 串在一起,通过将恶意代码注入特权进程来逃离沙箱并破坏系统。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,虽然 CVE-2021-1048 漏洞已于 2020 年 9 月在 Linux 内核中得到修复,但直到去年它才被反向移植到 Android 系统中,由于在复杂生态中修复所需的时间差,使得攻击者有了可乘之机并积极寻找已公开但还未修复到位的漏洞。

 

Android内核曝零日漏洞,间谍软件Predator利用漏洞跟踪窃听

极牛网精选文章《Android内核曝零日漏洞,间谍软件Predator利用漏洞跟踪窃听》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/19463.html

(71)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2022年5月20日 上午11:24
下一篇 2022年5月24日 上午11:10

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部