谷歌：间谍软件使用零日漏洞感染Android设备

 

此前有媒体报道，Cytrox是一家北马其顿公司，安全机构的研究表示，它与以色列NSO Group存在竞争关系。“NSO Group开发的Pegasus间谍软件针对iOS系统，Cytrox开发的Predator则针对Android系统。”

 

谷歌TAG指出，在这些攻击中，是作为2021年8月至2021年10月之间开始的三个活动的一部分，攻击者使用针对Chrome和Android操作系统的零日漏洞在最新的Android设备上安装Predator间谍软件。

 

谷歌TAG成员表示：“我们自信地评估，这些漏洞是由一家商业监控公司Cytrox打包的，并出售给不同的政府支持的攻击者，这些攻击者至少在下面讨论的三个活动中使用了这些漏洞。” 。

 

根据谷歌的分析，购买并使用这些漏洞利用间谍软件感染安卓目标的政府支持的攻击者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。

 

这些发现与CitizenLab于2021年12 月发布的关于Cytrox雇佣间谍软件的报告一致 ，当时其研究人员在流亡的埃及政治家Ayman Nour的电话中发现了该恶意工具。

 

这些活动中使用的五个以前未知的0-day安全漏洞包括： Chrome中的 CVE- 2021-37973、  CVE-2021-37976、  CVE-2021-38000、  CVE-2021-38003，以及Android中的CVE-2021-1048。

 

攻击者在三个不同的活动中部署了针对这些零日漏洞的攻击：

 

活动 #1 - 从 Chrome 重定向到 SBrowser (CVE-2021-38000)

活动 #2 - Chrome 沙盒逃逸（CVE-2021-37973、CVE-2021-37976）

活动 #3 - 完整的 Android 零日漏洞利用（CVE-2021-38003、CVE-2021-1048）