Google предупреждает о распространении шпионского ПО Predator на Android
Google опубликовала отчёт о недавно обнаруженной кампании по распространению шпионского ПО. По информации команды Threat Analysis Group (TAG) Google, группировка Cytrox использовала уязвимости нулевого дня в браузере Chrome и в ОС Android для внедрения ПО Predator.
TAG сообщает, что Cytrox использовала четыре уязвимости нулевого дня для браузера Chrome CVE-2021–38000, CVE-2021–37973, CVE-2021–37976 и CVE-2021–38003) и одну для Android (CVE-2021–1048). Также в ходе кампаний использовались уязвимости, для которых исправления уже выпущены, но их ещё не успели полностью развернуть в экосистеме Android.
Cytrox работает следующим образом: группировка распространяет по электронной почте ссылку, направляющую жертву на домен злоумышленника, с которого на его телефон установится вредоносная программа для Android под названием Alien. Эта программа затем загружает шпионское ПО Predator, способное, например, скрывать приложения и записывать звук.
Эта техника, по сведениям команды TAG, уже применялась против журналистов, политических активистов, чиновников и т. д. В этом случае исследователи обнаружили, что шпионское ПО использовалось в Египте, Армении, Греции, Мадагаскаре, Кот-д'Ивуаре, Сербии, Испании и Индонезии.
TAG отмечает, что кампания не завершена, и стоит ожидать новых атак. Кроме того, эксперты отмечают высокий уровень частных компаний в области разработки ПО для наблюдения. По сообщению TAG, сегодня существует более 30 частных фирм, которые продают эксплоиты и шпионское ПО различным правительствам.
