ในวันพฤหัสบดีที่ 19 พฤษภาคม Threat Analysis Group (TAG) ของ Google รายงานว่า Cytrox ผู้พัฒนาสปายแวร์ ได้พัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่ Zero-day 5 รายการ เพื่อกำหนดเป้าหมายไปยังผู้ใช้ Android ด้วยสปายแวร์

มีการใช้งานช่องโหว่ Zero-day ร่วมกับช่องโหว่ n-day เพื่อติดตั้งสปายแวร์ โดยได้มีการพัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่สำหรับ Chrome Zero-day และ 1 ช่องโหว่สำหรับ Android Zero-day

CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 in Chrome
CVE-2021-1048 in Android

นักวิจัย TAG Clement Lecigne และ Christian Resell อธิบายว่ามีการใช้งานเครื่องมือที่ใช้ในการโจมตี Zero-day ร่วมกับ n-day โดยผู้โจมตีพยายามใช้ประโยชน์จากความแตกต่างของระยะเวลาในการออกแพตช์ในระดับ Critical บางตัว ซึ่งบางครั้งแพตช์เหล่านี้ไม่ได้ถูกปล่อยออกมาพร้อมกันบนอุปกรณ์ Android ทั้งหมดจากผู้ให้บริการในแต่ละราย

ตามข้อมูลของ Google ช่องโหว่ดังกล่าวรวมอยู่ในรายการสปายแวร์ของ Cytrox ที่ขายให้กับผู้ดำเนินการที่มีส่วนเกี่ยวข้องกับภาครัฐของชาติต่างๆ เช่น อียิปต์ อาร์เมเนีย กรีซ มาดากัสการ์ โกตดิวัวร์ เซอร์เบีย สเปน และอินโดนีเซีย ซึ่งผู้โจมตีกำลังใช้สปายแวร์ Predator ใน 3 แคมเปญที่แตกต่างกันในรายงานการวิเคราะห์จาก Citizen Lab ของมหาวิทยาลัยโตรอนโต

TAG ตรวจสอบ 3 แคมเปญ และได้สรุปว่าผู้โจมตีจะทำการส่งลิงก์ไปยังผู้ใช้ Android ผ่าน spear-phishing emails ลิงก์เหล่านี้จะถูกย่อโดยใช้ URL shortener ที่ใช้ทั่วไป ซึ่งผู้โจมตีจะมุ่งเป้าไปยังเหยื่อเพียงไม่กี่ราย เมื่อเหยื่อคลิกที่ URL เหล่านี้ ก็จะทำให้ถูกเปลี่ยนเส้นทางไปยังโดเมนภายใต้การควบคุมของผู้โจมตีซึ่งใช้ในการโจมตีช่องโหว่ดังกล่าว ก่อนที่จะเปลี่ยนเส้นทางกลับไปยังเว็บไซต์ที่ถูกต้อง การกระทำดังกล่าวใช้เพื่อส่ง ALIEN Android banking Trojan ที่ทำหน้าที่เป็นตัวโหลด Cytrox's Predator

(more…)