Im November 2022 enthüllte Google die Existenz eines damals unbekannten Spyware-Anbieters namens Variston. Jetzt sagen Google-Forscher, sie hätten gesehen, wie Hacker die Tools von Variston in den Vereinigten Arabischen Emiraten benutzten.
In einem Bericht am Mittwoch veröffentlicht, gab die Threat Analysis Group (TAG) von Google bekannt, dass sie Hacker entdeckt hat, die auf Personen in den Vereinigten Arabischen Emiraten abzielen, die den nativen Android-Browser von Samsung, eine angepasste Version von Chromium, verwenden. Die Hacker nutzten eine Reihe von Schwachstellen, die miteinander verkettet und über einmalige Weblinks übermittelt wurden, die per Textnachricht an die Ziele gesendet wurden. Von den vier Schwachstellen in der Kette waren zwei zum Zeitpunkt des Angriffs Zero-Days, was bedeutet, dass sie dem Softwarehersteller nicht gemeldet worden waren und zu diesem Zeitpunkt unbekannt waren, so der neue Blogbeitrag von TAG.
Wenn ein Ziel auf die bösartigen Weblinks geklickt hätte, wäre es auf eine Zielseite geleitet worden, „die mit der im untersuchten TAG identisch ist Heliconia-Rahmen entwickelt vom kommerziellen Spyware-Anbieter Variston.“ (Beide Kampagnen verwendeten genau dieselbe und eindeutige Zielseite, sagte Google gegenüber Tech. Nach der Ausnutzung wäre das Opfer mit „einer voll ausgestatteten Android-Spyware-Suite“ infiziert worden, die laut dem Beitrag Daten aus Chat- und Browser-Apps erfassen soll.
„Der Akteur, der die Exploit-Kette verwendet, um Benutzer in den VAE anzugreifen, kann ein Kunde oder Partner von Variston sein oder anderweitig eng mit dem Spyware-Anbieter zusammenarbeiten“, heißt es in dem Blogbeitrag.
Wer hinter der Hacking-Kampagne steckt und wer die Opfer sind, ist unklar. Ein Google-Sprecher sagte gegenüber Tech, dass TAG etwa 10 schädliche Weblinks in freier Wildbahn beobachtet habe. Einige der Links wurden nach der Ausnutzung auf StackOverflow umgeleitet und könnten die Testgeräte des Angreifers gewesen sein, sagte Google. TAG sagte, es sei nicht klar, wer hinter der Hacking-Kampagne stecke.
Samsung reagierte nicht auf eine Bitte um Stellungnahme.
Ralf Wegener und Ramanan Jayaraman sind die Gründer von Variston, laut Geheimdienst Online, eine Online-Nachrichtenpublikation, die die Überwachungsbranche abdeckt. Keiner der Gründer antwortete auf eine Bitte um Stellungnahme. Variston hat seinen Hauptsitz in Barcelona, Spanien. Laut Handelsregisterauszügen in Italien erwarb Variston 2018 das italienische Zero-Day-Forschungsunternehmen Truel.
Google sagte am Mittwoch auch, dass es Hacker entdeckt habe, die einen im November gepatchten Zero-Day-Fehler von iOS ausnutzten, um Spyware aus der Ferne auf die Geräte der Benutzer zu schleusen. Die Forscher sagen, sie hätten beobachtet, wie Angreifer die Sicherheitslücke als Teil einer Exploit-Kette missbrauchten, die auf iPhone-Besitzer mit iOS 15.1 und älter in Italien, Malaysia und Kasachstan abzielte.
Der Fehler wurde in der WebKit-Browser-Engine gefunden, die Safari und andere Apps antreibt, und wurde zuerst von Google TAG-Forschern entdeckt und gemeldet. Apple hat den Fehler im Dezember gepatcht und damals bestätigt, dass dem Unternehmen bewusst war, dass die Schwachstelle aktiv „gegen Versionen von iOS, die vor iOS 15.1 veröffentlicht wurden“, ausgenutzt wurde.
Hacker nutzten auch eine zweite iOS-Schwachstelle, die als PAC-Bypass-Technik beschrieben wurde und von Apple im März 2022 behoben wurde. Google-Forschern zufolge ist dies genau die Technik, die der nordmazedonische Spyware-Entwickler Cytrox verwendet, um seine Predator-Spyware zu installieren. Citizen Lab hat zuvor einen Bericht veröffentlicht, in dem die weit verbreitete staatliche Verwendung der Predator-Spyware hervorgehoben wird.
Google beobachtete auch, wie Hacker eine Kette von drei Android-Fehlern ausnutzten, die auf Geräte mit einem ARM-basierten Grafikchip abzielten, darunter ein Zero-Day-Fehler. Laut Google hat ARM einen Fix veröffentlicht, aber mehrere Anbieter – darunter Samsung, Xiaomi, Oppo und Google selbst – haben den Patch nicht integriert, was zu „einer Situation führte, in der Angreifer den Fehler mehrere Monate lang frei ausnutzen konnten“, sagte Google.
Die Entdeckung dieser neuen Hacking-Kampagnen ist „eine Erinnerung daran, dass die kommerzielle Spyware-Industrie weiterhin gedeiht“, sagt Google. „Sogar kleinere Überwachungsanbieter haben Zugriff auf 0-Days, und Anbieter, die 0-Day-Schwachstellen heimlich horten und nutzen, stellen ein ernsthaftes Risiko für das Internet dar.“
„Diese Kampagnen können auch darauf hindeuten, dass Exploits und Techniken zwischen Überwachungsanbietern geteilt werden, was die Verbreitung gefährlicher Hacking-Tools ermöglicht“, heißt es in dem Blog.