Hacktu Magazine Le magazine de la cybersécurité
L’ équipe Google Threat Analysis Group (TAG) a identifié un autre lot d’exploits relatifs à des vulnérabilités zero-day (0-day) dans Android , iOS et Chrome. Ces exploits sont utilisé par les cybercriminels pour installer des logiciels espions sur les appareils des victimes. Les types d’attaque observés commencent par un message texte contenant un lien raccourci utilisant le service de raccourcissement d’URL « bit.ly ». Si la victime clique sur cette URL, les attaquants la redirigeaient vers des sites de livraison légitimes. En parallèle, une tentative d’exploitation des failles du moteur WebKit (système iOS) est réalisée sur l’appareil de l’utilisateur cible : CVE-2022-42856 et CVE-2021-30900.
la première faille permettait d’exécuter le code à distance, et la seconde permettait de sortir du bac à sable. Ensuite, les attaquants ont installé le payload (charge utile) sur l’appareil compromis pour suivre l’emplacement et installer les fichiers avec l’extension « .IPA ». Les propriétaires d’appareils Android ne sont pas épargnés : les cybercriminels ont utilisé la vulnérabilité CVE-2022-4135 affectant les GPU Chrome et ARM, ainsi que deux autres bogues – CVE-2022-38181 (élévation des privilèges dans ARM) et CVE-2022-3723 (incompatibilité des données de types utilisées (confusion de types)). Après une attaque réussie, les attaquants ont largué une charge utile inconnue des spécialistes. « Lorsque ARM a publié un correctif pour CVE-2022-38181, un certain nombre de fournisseurs, dont Pixel, Samsung, Xiaomi, Oppo, ne l’ont pas appliqué à leurs appareils. Cela a conduit à l’exploitation gratuite du bug pendant plusieurs mois », écrit Google TAG.
La deuxième campagne similaire sur laquelle les chercheurs ont attiré l’attention impliquait un tas d’exploits qui attaquaient le navigateur mobile natif de Samsung. Au stade final, un logiciel espion Android écrit en C++ a été installé sur le système.
