Los piratas informáticos utilizaron software espía de fabricación española para atacar a los usuarios en los Emiratos Árabes Unidos, dice Google

[ad_1]

En noviembre de 2022, Google reveló la existencia de un proveedor de spyware entonces desconocido llamado Variston. Ahora, los investigadores de Google dicen que vieron a piratas informáticos usando las herramientas de Variston en los Emiratos Árabes Unidos.

En un informe publicado el miércoles, el Grupo de Análisis de Amenazas (TAG) de Google dijo que había descubierto piratas informáticos que se dirigían a personas en los Emiratos Árabes Unidos utilizando el navegador Android nativo de Samsung, una versión personalizada de Chromium. Los piratas informáticos explotaron una serie de vulnerabilidades encadenadas y entregadas a través de enlaces web únicos enviados a los objetivos a través de mensajes de texto. De las cuatro vulnerabilidades en la cadena, dos eran de día cero en el momento del ataque, lo que significa que no se habían informado al proveedor del software y eran desconocidas en ese momento, según la nueva publicación de blog de TAG.

Si un objetivo hubiera hecho clic en los enlaces web maliciosos, habría sido llevado a una página de destino "idéntica a la TAG examinada en el marco Heliconia desarrollado por el proveedor comercial de spyware Variston". (Ambas campañas usaron exactamente la misma y única página de destino, dijo Google a TechCrunch. Después del exploit, la víctima habría sido infectada con "un paquete de software espía de Android con todas las funciones" diseñado para recopilar datos de las aplicaciones de chat y navegador, según la publicación. .

"El actor que usa la cadena de explotación para atacar a los usuarios en los Emiratos Árabes Unidos puede ser un cliente o socio de Variston o trabajar en estrecha colaboración con el proveedor de software espía", se lee en la publicación del blog.

No está claro quién está detrás de la campaña de piratería y quiénes son las víctimas. Un portavoz de Google le dijo a TechCrunch que TAG observó alrededor de 10 enlaces web maliciosos en la naturaleza. Algunos de los enlaces redirigidos a StackOverflow después del exploit y pueden haber sido los dispositivos de prueba del atacante, dijo Google. TAG dijo que no estaba claro quién estaba detrás de la campaña de piratería.

Samsung no respondió a una solicitud de comentarios.

Ralf Wegener y Ramanan Jayaraman son los fundadores de Variston, según Intelligence Online, una publicación de noticias en línea que cubre la industria de la vigilancia. Ninguno de los fundadores respondió a una solicitud de comentarios. Variston tiene su sede en Barcelona, ​​España. Según extractos del registro de empresas en Italia, Variston adquirió la empresa italiana de investigación de día cero Truel en 2018.

Google también dijo el miércoles que había descubierto piratas informáticos que explotaban un error de día cero de iOS parcheado en noviembre para inyectar spyware de forma remota en los dispositivos de los usuarios. Los investigadores dicen que observaron a los atacantes que usaban la vulnerabilidad como parte de una cadena de explotación dirigida a los propietarios de iPhone con iOS 15.1 y versiones anteriores en Italia, Malasia y Kazajstán.

El error se encontró en el motor del navegador WebKit que impulsa Safari y otras aplicaciones y fue descubierto e informado por primera vez por los investigadores de Google TAG. Apple reparó la falla en diciembre, confirmando en ese momento que la compañía sabía que la vulnerabilidad estaba siendo explotada activamente "contra las versiones de iOS lanzadas antes de iOS 15.1".

Los piratas informáticos también aprovecharon una segunda vulnerabilidad de iOS, descrita como una técnica de omisión de PAC, que Apple solucionó en marzo de 2022. Según los investigadores de Google, esta es exactamente la técnica utilizada por el desarrollador de software espía de Macedonia del Norte, Cytrox, para instalar su software espía Predator. Citizen Lab publicó previamente un informe que destaca el uso generalizado del spyware Predator por parte del gobierno.

Google también observó a piratas informáticos que explotaban una cadena de tres errores de Android dirigidos a dispositivos con un chip de gráficos basado en ARM, incluido un error de día cero. Según Google, ARM lanzó una solución, pero varios proveedores, incluidos Samsung, Xiaomi, Oppo y el propio Google, no pudieron integrar el parche, lo que llevó a "una situación en la que los atacantes pudieron explotar la falla durante varios meses". Google dijo.

El descubrimiento de estas nuevas campañas de piratería es "un recordatorio de que la industria del spyware comercial continúa prosperando", dice Google. "Incluso los proveedores de vigilancia más pequeños tienen acceso a 0-Days, y los proveedores que acumulan y explotan en secreto las vulnerabilidades de 0-Day representan un grave riesgo para Internet".

"Estas campañas también pueden indicar que las vulnerabilidades y las técnicas se comparten entre los proveedores de vigilancia, lo que permite la proliferación de herramientas de piratería peligrosas", se lee en el blog.

[ad_2]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir