Google TAG ha scoperto una serie di exploit chain per Android, iOS e Chrome che sfruttano vulnerabilità 0-day e n-day per installare spyware commerciali e altre tipologie di malware sui dispositivi delle vittime. Google TAG è il team che si occupa di attacchi informatici prevalentemente condotti da agenzie governative, a differenza di Project Zero che cerca vulnerabilità nei dispositivi commerciali.
Leggi anche:
- ASUS Thincredible: i nuovi Zenbook e Vivobook arriveranno ad aprile
- Motorola Edge 40 e Edge 40 Pro: nuovi render e prezzi
- Nintendo Switch OLED: ecco l’edizione dedicata a Zelda
- HP presenta i nuovi laptop OMEN e Victus
Exploit: di che si tratta?
La prima campagna individuata intorno a novembre 2022 prendeva di mira dispositivi sia Android sia iOS, con serie di exploit differenti. Alle vittime veniva inviato via SMS un link accorciato tramite il servizio Bit.ly che parlava di fantomatici pacchi persi. Se lo si seguiva, si finiva prima in una pagina Web infetta che azionava gli exploit e subito dopo sui siti legittimi di corrieri e spedizionieri di vari Paesi, tra cui l’Italia. In questo modo diventava difficile rendersi conto di essere stati attaccati. Il malware serviva prevalentemente a monitorare costantemente la posizione dei dispositivi.
La seconda campagna, attivata a dicembre, prendeva di mira i dispositivi Samsung tramite il browser Samsung Internet. Si è svolta per lo più negli Emirati Arabi Uniti. L’obiettivo degli exploit era l’installazione di una suite completa di spyware sviluppata in C++, che includeva librerie per estrarre informazioni da varie app di chat e vari browser web.
Il report di Bleeping Computer includeva un virgolettato attribuito a Clement Lecigne, parte di TAG e autore del report, in cui venivano citati espressamente “Pixel, Samsung, Xiaomi, Oppo and others” come produttori che non avevano implementato tempestivamente la patch, ma pare che ora l’articolo originale sia stato modificato, rimuovendo ogni nome esplicito. Tuttavia, dirigendosi al post di Project Zero risalente a novembre 2022 che parlava espressamente di quella falla, codice CVE-2022-38181, i quattro nomi sono riportati esattamente nello stesso modo subito a inizio post.
