Google dice que tiene evidencia de que un proveedor de vigilancia comercial estaba explotando tres vulnerabilidades de seguridad de día cero encontradas en los teléfonos inteligentes Samsung más nuevos.
Las vulnerabilidades, descubiertas en el software personalizado de Samsung, se usaron juntas como parte de una cadena de explotación para apuntar a los teléfonos Samsung con Android. Las vulnerabilidades encadenadas permiten a un atacante obtener privilegios de lectura y escritura del kernel como usuario raíz y, en última instancia, exponer los datos de un dispositivo.
La investigadora de seguridad de Google Project Zero, Maddie Stone, dijo en una publicación de blog que la cadena de explotación se dirige a los teléfonos Samsung con un chip Exynos que ejecuta una versión específica del kernel. Los teléfonos Samsung se venden con chips Exynos principalmente en Europa, Medio Oriente y África, que es probablemente donde se encuentran los objetivos de la vigilancia.
Stone dijo que los teléfonos Samsung que ejecutan el kernel afectado en ese momento incluyen el S10, A50 y A51.
Las fallas, desde que se repararon, fueron explotadas por una aplicación de Android maliciosa, que el usuario pudo haber sido engañado para que la instalara desde fuera de la tienda de aplicaciones. La aplicación maliciosa permite al atacante escapar de la zona de pruebas de la aplicación diseñada para contener su actividad y acceder al resto del sistema operativo del dispositivo. Solo se obtuvo un componente de la aplicación de explotación, dijo Stone, por lo que no se sabe cuál fue la carga útil final, incluso si las tres vulnerabilidades allanaron el camino para su eventual entrega.
“La primera vulnerabilidad en esta cadena, la lectura y escritura arbitraria de archivos, fue la base de esta cadena, se usó cuatro veces diferentes y se usó al menos una vez en cada paso”, escribió Stone. “Los componentes de Java en los dispositivos Android no tienden a ser los objetivos más populares para los investigadores de seguridad a pesar de que se ejecutan en un nivel tan privilegiado”, dijo Stone.
Google se negó a nombrar al proveedor de vigilancia comercial, pero dijo que la explotación sigue un patrón similar a las infecciones recientes de dispositivos en las que se abusó de las aplicaciones maliciosas de Android para entregar un poderoso software espía de estado-nación.
A principios de este año, los investigadores de seguridad descubrieron Hermit, un spyware para Android e iOS desarrollado por RCS Lab y utilizado en ataques dirigidos por gobiernos, con víctimas conocidas en Italia y Kazajstán. Hermit se basa en engañar a un objetivo para que descargue e instale la aplicación maliciosa, como una aplicación de asistencia de operador de telefonía celular disfrazada, desde fuera de la tienda de aplicaciones, pero luego roba silenciosamente los contactos, las grabaciones de audio, las fotos, los videos y los datos granulares de ubicación de la víctima. Google comenzó a notificar a los usuarios de Android cuyos dispositivos han sido comprometidos por Hermit. El proveedor de vigilancia Connexxa también usó aplicaciones maliciosas cargadas localmente para atacar a los propietarios de Android y iPhone.
Google informó las tres vulnerabilidades a Samsung a fines de 2020, y Samsung implementó parches para los teléfonos afectados en marzo de 2021, pero no reveló en ese momento que las vulnerabilidades se estaban explotando activamente. Stone dijo que desde entonces Samsung se ha comprometido a comenzar a revelar cuándo se explotan vulnerabilidades activamente, siguiendo a Apple y Google, que también revelan en sus actualizaciones de seguridad cuándo se atacan las vulnerabilidades.
“El análisis de esta cadena de exploits nos ha brindado información nueva e importante sobre cómo los atacantes se dirigen a los dispositivos Android”, agregó Stone, indicando que una mayor investigación podría descubrir nuevas vulnerabilidades en el software personalizado creado por los fabricantes de dispositivos Android, como Samsung.
“Destaca la necesidad de más investigación sobre los componentes específicos del fabricante. Muestra dónde debemos hacer más análisis de variantes”, dijo Stone.