Come abbiamo riportato più volte, gli attacchi zero-day, cioè quegli attacchi che sfruttano vulnerabilità ancora non conosciute agli sviluppatori, hanno visto un aumento esponenziale nel corso del 2021, e la situazione non promette di migliorare quest'anno.
Google, attraverso il suo Threat Analysis Group (TAG) ha identificato nel corso del 2021 9 vulnerabilità, e dopo aver analizzato le prime quattro l'anno scorso, ora prende in esame le altre cinque, e le azioni che ha messo in campo per contrastarle. Queste vulnerabilità, che riguardano
- Chrome: CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003
- Android: CVE-2021-1048
sono state sfruttate in tre diverse campagne di attacchi, per la maggior parte sviluppati da entità con fini di lucro e venduti e utilizzati da attori sostenuti da vari governi, con sede (almeno) in Egitto, Armenia, Grecia, Madagascar, Costa d'Avorio, Serbia, Spagna e Indonesia.
Ma come sono state sfruttate le vulnerabilità? In pratica Google ha scoperto che tutte le campagne di attacco hanno inviato, agli utenti target Android (giornalisti ma non solo), collegamenti imitano i servizi di accorciamento degli URL. Se cliccato, il collegamento reindirizzava a un dominio che iniettava un malware prima di reindirizzare il browser a un sito Web legittimo. Il malware in questione era ALIEN, che caricava un impianto Android chiamato PREDATOR, il quale inviava una serie di comandi come registrazione dell'audio, l'aggiunta di certificati CA (autorità di certificazione, che garantiscono la sicurezza del traffico web) e l'occultamento di app.
Nell'articolo, veramente interessante, Google afferma di aver scoperto e attivato tempestivamente misure contro questi attacchi, ed è piuttosto inquietante il caso della Spagna, di recente balzata agli onori delle cronache per il cosiddetto Catalan Gate.