Ataques a dispositivos Apple e Samsung usam táticas avançadas
Por Felipe Demartini • Editado por Claudio Yuge |
O uso de vulnerabilidades zero-day (ou de dia zero), aquelas desconhecidas até mesmo pelos desenvolvedores originais dos softwares, está se tornando mais presente no crime comum. Na medida em que a economia criminosa aumenta, os bandidos estão se desenvolvendo e utilizando brechas desse nível para atingir navegadores e celulares com iOS e Android, também se aproveitando na demora de atualizações por fabricantes e usuários.
Quem acende o alerta é o Grupo de Análise de Ameaças do Google, que em um novo relatório, expôs duas campanhas maliciosas que usam táticas, até agora, vistas comumente apenas em ataques governamentais. Na primeira, usuários de três países eram alvo de explorações que atingiam múltiplos smartphones, incluindo o iPhone, enquanto os donos de Samsung são os alvos da segunda.
Circulando desde novembro de 2022, uma das campanhas de ataque começa com uma mensagem fraudulenta tradicional, que indica problemas na entrega de um pacote. Usuários da Itália, Malásia e Cazaquistão recebiam SMS com link para acesso a um sistema de rastreamento, cuja página reconhecia o sistema operacional usado para acesso e se aproveitava de duas vulnerabilidades conhecidas para atingir iPhones.
A partir de brechas no WebKit, sistema de exibição de páginas do iOS, e de uma falha que permite escalar privilégios, os bandidos eram capazes de instalar um malware no dispositivo. Na campanha observada pelo Google, foi implantado um vírus de rastreamento, que enviava a localização do usuário no GPS de volta para os bandidos, permitindo espionagem e quebra de privacidade.
Caso a vítima esteja acessando pelo Android, três brechas de segurança no navegador Chrome são utilizadas para obter privilégios adicionais no sistema e executar códigos remotamente, possibilitando a instalação de malware. Chamou a atenção do Google que, caso o acesso seja feito por outro browser, há uma tentativa de redirecionamento para o navegador específico. Em todos os casos, após a exploração, o usuário é levado à página oficial do serviço de entrega.
Já a segunda campanha está ativa desde dezembro e explora múltiplas vulnerabilidades conhecidas no navegador nativo dos aparelhos da Samsung. O vetor de entrada, novamente, é o SMS, enquanto os alvos estão nos Emirados Árabes Unidos, que recebem spyware a partir de páginas fraudulentas com o objetivo de desviar conversas em mensageiros e manipular o uso de aplicativos.
Nada menos do que quatro vulnerabilidades zero-day são combinadas nessa exploração, com o Google indicando também o uso de soluções de uma fornecedora chamada Variston, voltada justamente para a criação de aplicativos de espionagem governamental. Os links fraudulentos simulam sistemas de verificação ou confirmação de cadastro em serviços legítimos.
Atualizações resolvem o problema (em partes)
Como dito, o principal foco de atuação dos bandidos em ataques desse tipo está nos aparelhos desatualizados. O uso de zero-days dificulta o trabalho de desenvolvedores, enquanto a demora entre a liberação de relatórios e updates para as brechas cria um vácuo interessante para a ação dos criminosos.
Ainda assim, a principal recomendação de segurança é manter celular e aplicativos sempre rodando as últimas versões disponíveis. Ainda que os ataques sejam avançados, o uso de ataques de phishing como vetor também permite que os usuários se protejam, prestando atenção em links recebidos por mensagem e prestando atenção ao clicar, acessando apenas sites legítimos.
Fonte: Google TAG