Google TAG : le logiciel espion Predator de Cytrox utilisé pour cibler les utilisateurs d’Android

Groupe NSO et son puissant malware Pegasus a dominé le débat sur les fournisseurs de logiciels espions commerciaux qui vendent leurs outils de piratage aux gouvernements, mais les chercheurs et les entreprises technologiques tirent de plus en plus la sonnette d’alarme sur l’activité dans l’industrie plus large de la surveillance pour compte d’autrui. Dans le cadre de cet effort, le groupe d’analyse des menaces de Google publie jeudi les détails de trois campagnes qui ont utilisé le populaire logiciel espion Predator, développé par la société nord-macédonienne Cytrox, pour cibler les utilisateurs d’Android.

Conformément aux conclusions sur Cytrox publiées en décembre par des chercheurs du Citizen Lab de l’Université de Toronto, TAG a constaté que les acteurs parrainés par l’État qui ont acheté les exploits Android étaient situés en Égypte, en Arménie, en Grèce, à Madagascar, en Côte d’Ivoire, en Serbie et en Espagne. , et l’Indonésie. Et il y avait peut-être d’autres clients. Les outils de piratage ont profité de cinq vulnérabilités Android jusque-là inconnues, ainsi que de failles connues pour lesquelles des correctifs étaient disponibles mais que les victimes n’avaient pas corrigés.

“Il est important de faire la lumière sur l’écosystème des fournisseurs de solutions de surveillance et sur la manière dont ces exploits sont vendus”, déclare Shane Huntley, directeur de Google TAG. «Nous voulons réduire la capacité des fournisseurs, des gouvernements et des autres acteurs qui achètent leurs produits à contourner ces dangereux jours zéro sans aucun coût. S’il n’y a pas de réglementation ni d’inconvénient à utiliser ces fonctionnalités, vous le verrez de plus en plus.

L’industrie des logiciels espions commerciaux a donné aux gouvernements qui n’ont pas les fonds ou l’expertise nécessaires pour développer leurs propres outils de piratage un accès à une vaste gamme de produits et de services de surveillance. Cela permet aux régimes répressifs et aux forces de l’ordre plus largement d’acquérir des outils qui leur permettent de surveiller les dissidents, les militants des droits de l’homme, les journalistes, les opposants politiques et les citoyens ordinaires. Et tandis que beaucoup d’attention a été concentrée sur les logiciels espions qui ciblent l’iOS d’Apple, Android est le système d’exploitation dominant dans le monde et a fait face à des tentatives d’exploitation similaires.

“Nous voulons simplement protéger les utilisateurs et trouver cette activité le plus rapidement possible”, déclare Huntley. “Nous ne pensons pas que nous pouvons tout trouver tout le temps, mais nous pouvons ralentir ces acteurs.”

TAG dit qu’il suit actuellement plus de 30 fournisseurs de surveillance pour compte d’autrui qui ont des niveaux variés de présence publique et offrent une gamme d’exploits et d’outils de surveillance. Dans les trois campagnes Predator examinées par TAG, les attaquants ont envoyé aux utilisateurs d’Android des liens uniques par e-mail qui semblaient avoir été raccourcis avec un raccourcisseur d’URL standard. Les attaques étaient ciblées, se concentrant sur quelques dizaines de victimes potentielles seulement. Si une cible cliquait sur le lien malveillant, elle était dirigée vers une page malveillante qui commençait automatiquement à déployer les exploits avant de les rediriger rapidement vers un site Web légitime. Sur cette page malveillante, les attaquants ont déployé “Alien”, un malware Android conçu pour charger l’outil de logiciel espion complet de Cytrox, Predator.

Comme c’est le cas avec iOS, de telles attaques sur Android nécessitent d’exploiter une série de vulnérabilités du système d’exploitation en séquence. En déployant des correctifs, les fabricants de systèmes d’exploitation peuvent briser ces chaînes d’attaque, renvoyant les fournisseurs de logiciels espions à la planche à dessin pour développer des exploits nouveaux ou modifiés. Mais bien que cela rende la tâche plus difficile pour les attaquants, l’industrie des logiciels espions commerciaux a quand même pu prospérer.

“Nous ne pouvons pas perdre de vue le fait que NSO Group ou l’un de ces fournisseurs n’est qu’un élément d’un écosystème plus large”, déclare John Scott-Railton, chercheur principal au Citizen Lab. “Nous avons besoin d’une collaboration entre les plates-formes afin que les mesures d’application et les mesures d’atténuation couvrent toute l’étendue de ce que font ces acteurs commerciaux et rendent plus difficile pour eux de continuer.”

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire