نماد سایت اتاق خبر شبکه گستر

کارزارهایی با هدف نصب جاسوس‌افزار در iOS و Android

محققان کارزارهایی را شناسایی کرده‌اند که با سوءاستفاده از ضعف‌های امنیتی روز-صفر (Zero day) و همچنین آسیب‌پذیری‌های شناخته شده، کاربران iOS و Android را جهت نصب جاسوس‌افزارها مورد هدف قرار داده‌اند.

 این حملات عمدتاً در ایتالیا، مالزی، قزاقستان، و امارات متحده عربی مشاهده شده و نشانه‌های کارزارهای حمایت‌شده دولتی را داشته‌اند.

در دو کارزار شناسایی شده، مهاجمان ناشناس از زنجیره‌ای از ضعف‌های امنیتی سوءاستفاده کردند که شامل آسیب‌پذیری‌های شناخته شده و باگ‌هایی می‌باشند که در زمان بکارگیری آنها هنوز روز-صفر بودند. در اولین سری از حملات به دستگاه‌های آسیب‌پذیر iOS و Android، مهاجمان اقدام به ارسال لینک‌های کوتاه شده به قربانیان از طریق پیامک نمودند. قربانیان با کلیک بر روی لینک‌ها،  به سایت‌هایی هدایت می‌شدند که اکسپلویت‌ها را بر روی هر نوع سیستم‌عاملی اجرا می‌نمود. Google Threat Analysis Group در آبان 1401 این کارزار را کشف کرد و توانست زنجیره آسیب‌پذیری‌های سوءاستفاده شده در دستگاه‌های iOS و Android را شناسایی کند.

در حملات اجرا شده در سیستم‌های iOS، ضعف امنیتی CVE-2022-42856 (ضعفی در WebKit) مورد سوءاستفاده قرار گرفت که در زمان وقوع حملات یک آسیب‌پذیری روز-صفر بود. ضعف امنیتی دیگر دارای شناسه CVE-2021-30900 بود که موجب دورزدن Sandbox در سیستم‌عامل iOS و «افزایش سطح دسترسی» (Privilege Escalation) می‌شد. شرکت اپل (Apple)، آسیب‌پذیری CVE-2021-30900 را در iOS 15.1 و CVE-2022-42856 را در iOS 12.5.7 در دی ماه ترمیم و وصله آن را منتشر نمود.

در حملاتی که کاربران Android را مورد هدف قرار می‌دهند، سه آسیب‌پذیری مجزا بکار گرفته شده است؛ یکی از آنها ضعفی روز صفر (CVE-2022-4135) در Chrome GPU است. آسیب‌پذیری دوم، باگی در Chrome و سومی در درایور هسته ARM Mali GPU می‌باشد.

شایان ذکر است که کاربران هنگام استفاده از مرورگر اینترنت سامسونگ (Samsung Internet Browser)، با استفاده از قابلیت Intent Redirection به Chrome هدایت می‌شدند. در حالی که پیشتر ما شاهد بودیم که مهاجمان، مشابه سوءاستفاده از ضعف CVE-2022-2856، کاربران را از Chrome به Samsung Internet Browser، هدایت می‌کردند اما در این مورد، تغییر مسیر به شکل دیگری رخ می‌دهد.

هنگامی که وصله آسیب‌پذیری CVE-2022-38181 برای ARM Mali GPU منتشر کرد، وصله‌ها بلافاصله توسط سازندگان گنجانده و اعمال نشدند و این منجر به سوءاستفاده گسترده از ضعف امنیتی مذکور شد.

این کارزارها یادآور این هستند که جاسوس‌افزارهای تجاری همچنان به رشد خود ادامه می‌دهند. حتی سازندگان جاسوسی خرد نیز به دنبال سوءاستفاده از ضعف‌های امنیتی روز-صفر می‌باشند.

همچنین محققان Amnesty International Security Lab دومین کارزار را شناسایی کردند که در آن کاربران Android مورد هدف قرار گرفته‌اند و با همکاری Google Threat Analysis Group آن را تحلیل نمودند. این کارزار از چندین آسیب‌پذیری، از جمله ضعف امنیتی روز-صفر Chromeا(CVE-2022-4262) که منجر به دورزدن Sandbox مربوط به Chrome می‌شود، سوءاستفاده می‌کند. ضعف امنیتی روز-صفر دیگر دارای شناسه CVE-2023-0266 است و Linux Kernel از آن تاثیر می‌پذیرد. به نقل از محققان، این کارزار حداقل از سال 2020 فعال بوده است. هدف هر دو این کارزارها نصب مجموعه نرم‌افزارهای جاسوسی بوده که مهاجمان را قادر به کنترل دستگاه‌های قربانیان می‌کرد. گرچه نه گوگل و نه Amnesty International Security Lab هیچ کدام در گزارش خود نامی از سازنده این نرم‌افزارهای جاسوسی نبرده‌اند.

جزئیات بیشتر این کارزارها در نشانی زیر قابل مطالعه می‌باشد:

https://blog.google/threat-analysis-group/spyware-vendors-use-0-days-and-n-days-against-popular-platforms/

 

منبع:

https://duo.com/decipher/new-spyware-campaigns-exploit-ios-and-android-zero-days

خروج از نسخه موبایل