Fino ad oggi, il phishing rimane una delle tecniche preferite dagli hacker per ottenere l’accesso al dispositivo di una vittima. Sebbene le migliori pratiche per identificare ed evitare il phishing siano oggi note (compresa l’utilizzo di chiavi di accesso fisiche e l’uso delle passkey), diversi malintenzionati sfruttano i trucchi del phishing in combinazione con le vulnerabilità dei browser e dei sistemi operativi per rubare dati preziosi.
Il Threat Analysis Group (TAG) di Google è un team dedicato che tiene traccia di questi malintenzionati, correggendo le vulnerabilità sulla loro scia. Recentemente ha scoperto l’intera portata di due diversi attacchi che sfruttano le vulnerabilità zero-day. Il TAG di Google monitora attivamente oltre 30 fornitori di spyware commerciali che offrono sorveglianza e altri strumenti di hacking a clienti paganti come malintenzionati sostenuti dal governo che non possono sviluppare tali utilità in modo indipendente.
Gli attacchi phishing sgominati dal TAG
TAG ha identificato due di questi fornitori che eseguono operazioni mirate a dispositivi Android, iPhone, il browser Chrome e l’app Internet Samsung basata su Chromium.
Un attacco mirato a Italia, Malesia e Kazakistan ha utilizzato accorciatori di URL per i collegamenti spam inviati tramite SMS. Se la vittima toccava il collegamento, veniva reindirizzata a un sito Web che ospitava malware per Android e iOS, quindi reindirizzata nuovamente a un sito Web legittimo di tracciamento del Corriere della Sera o a una piattaforma di notizie malese.
Su Android, questo attacco ha sfruttato una vulnerabilità zero-day in Chrome, un bypass della sandbox GPU zero-day (al momento dell’exploit) e un bug di escalation dei privilegi. Poiché l’attacco si basava sulle vulnerabilità di Chrome, i malintenzionati coinvolti hanno reindirizzato gli utenti del browser Internet Samsung a Chrome, invece che di solito accadeva il contrario. Tuttavia, tutte le suddette vulnerabilità sono state identificate e corrette alla fine del 2022.
I fornitori non hanno incorporato la correzione ARM implementata per il bug di escalation dei privilegi, il che significa che è ancora una vulnerabilità attiva su alcuni dispositivi.
L’altro attacco identificato era probabilmente opera di un cliente del fornitore commerciale di spyware Variston. Codificato in C++, l’attacco ha preso di mira gli utenti negli Emirati Arabi Uniti tramite SMS per acquisire dati dai browser Web e dalle app di chat installate sul dispositivo Android della vittima.
Come l’attacco precedente, anche questo ha sfruttato alcune vulnerabilità zero-day a livello di kernel ed è stato distribuito all’ultima versione dell’app Internet Samsung, quindi basata su Chromium 102. Il marchio tecnologico coreano ha risolto questi problemi nella versione 19.0.6 dell’app è stata lanciata nel dicembre 2022, ma il browser rimane costantemente indietro rispetto al programma di implementazione di Google per Chrome.
