En su blog la empresa Google comunicó que durante su comparecencia ante la audiencia parlamentaria de la Unión Europea a mediados de este mes de junio informó sobre una nueva amenaza a la seguridad de dispositivos con sistema iOS y Android. Blogs de tecnología ya lo califican como la versión italiana de Pegasus.
El Grupo de Análisis de Amenazas de Google actualmente rastrea a 30 proveedores que distribuyen «exploits» que son fragmentos de código enfocados en aprovechar vulnerabilidades. La distribuión de este Malware es a través de un enlace que aparenta provenir de una fuente oficial y así engañar al usuario y extraer su información. En algunos casos de se encontró que también hay intervención con el ISP (Internet Service Provider) para interrumpir el servicio y enviar el enlace por mensaje SMS.
Ya sea por la descarga vía mensaje o al ingresar al sitio, el usuario queda a merced del código malicioso. En la siguiente imagen, Google muestra la apariencia del sitio que aparenta ser oficial:
La aplicación que se instala parece una app perteneciente al ISP y cuando este no interviene en el ataque, se disfraza como una aplicación de mensajería.
La aplicación que analizamos contenía los siguientes exploits:
CVE-2018-4344 denominado internamente y conocido públicamente como LightSpeed.
CVE-2019-8605 denominado internamente SockPort2 y conocido públicamente como SockPuppet
CVE-2020-3837 denominado internamente y conocido públicamente como TimeWaste.
CVE-2020-9907 denominado internamente como AveCesare.
CVE-2021-30883 denominado internamente como Clicked2, marcado como explotado en estado salvaje por Apple en octubre de 2021.
CVE-2021-30983 denominado internamente Clicked3, corregido por Apple en diciembre de 2021.
Todos los exploits utilizados antes de 2021 se basan en exploits públicos escritos por diferentes comunidades de jailbreak. En el momento del descubrimiento, creemos que CVE-2021-30883 y CVE-2021-30983 eran dos exploits de día cero. En colaboración con TAG, Project Zero ha publicado el análisis técnico de CVE-2021-30983.
Como siempre, la empresa alerta a los usuarios a estar atentos a los enlaces recibidos, y ser precavidos aunque la fuente parezca confiable.