Vendedores de programas espía emplean cadenas de ‘exploits’ para aprovechar retrasos de parches en el ecosistema móvil

Varios proveedores comerciales de programas espía han desarrollado y utilizado exploits de día cero contra usuarios de iOS y Android a lo largo del pasado año. Sin embargo, sus cadenas también se basaban en vulnerabilidades conocidas para funcionar, lo que evidencia la importancia de que tanto los usuarios como los fabricantes de dispositivos aceleren la adopción de parches de seguridad. “Los exploits de día cero se utilizaron junto con otros de día ‘N’ aprovechando el gran intervalo de tiempo entre la publicación de la corrección y su despliegue completo en los dispositivos de usuarios finales”, alertan los investigadores del Grupo de Análisis de Amenazas (TAG) de Google en un informe en el que se detallan las operativas de ataque. "Nuestros hallazgos subrayan hasta qué punto los vendedores de vigilancia comercial han proliferado capacidades históricamente sólo utilizadas por los gobiernos con la experiencia técnica para desarrollar y poner en funcionamiento exploits”.

Software espía de iOS

Apple tiene un control mucho más estricto de su ecosistema móvil, ya que es el único fabricante de hardware de los dispositivos iOS y el creador del software que se ejecuta en ellos. Como tal, los iPhone e iPad han tenido históricamente una tasa de adopción de parches mucho mejor que Android, donde Google crea el sistema operativo base y luego decenas de fabricantes de dispositivos lo personalizan para sus propios productos y mantienen su propio firmware independiente.

En noviembre de 2022, Google TAG detectó una campaña de ataque a través de SMS dirigida tanto a usuarios de iOS como de Android en Italia, Malasia y Kazajstán utilizando cadenas de exploits para ambas plataformas. La campaña incluía URL acortadas en bit.ly que, al hacer clic, dirigían a los usuarios a una página web que contenía los exploits y luego los redirigía a sitios web legítimos, como el portal de seguimiento de envíos de la empresa de logística italiana BRT o un popular sitio de noticias de Malasia.

La cadena de exploits de iOS combinaba una vulnerabilidad de ejecución remota de código en WebKit, el motor de renderizado de sitios web de Apple utilizado en Safari e iOS, que era desconocida y no estaba parcheada en ese momento. El fallo, ahora rastreado como CVE-2022-42856, fue parcheado en enero después de que Google TAG lo comunicara a Apple.

Sin embargo, un fallo de ejecución remota de código en el motor del navegador web no es suficiente para comprometer un dispositivo, porque los sistemas operativos móviles como iOS y Android utilizan técnicas de sandboxing para limitar los privilegios del navegador. Por lo tanto, el atacante combinó esta vulnerabilidad de día cero con un fallo de escape de sandbox y escalada de privilegios (CVE-2021-30900) en AGXAccelerator, un componente de los controladores de GPU, que Apple había parcheado en iOS 15.1 allá por octubre de 2021.

La cadena de exploits también utilizaba una técnica de bypass PAC que Apple corrigió en marzo de 2022 y que ya se había visto en exploits utilizados por un proveedor comercial de spyware llamado Cytrox en 2021 para distribuir su spyware Predator en una campaña contra un líder de la oposición política egipcia que vivía en el exilio y un periodista egipcio. De hecho, ambos exploits tenían una función muy específica llamada make_bogus_transform, lo que sugiere que podrían estar relacionados.

En la campaña de noviembre vista por Google TAG, la carga útil final de la cadena de exploits era una simple pieza de malware que informaba periódicamente a los atacantes de la ubicación GPS de los dispositivos infectados, pero también les proporcionaba la capacidad de desplegar archivos .IPA (archivo de aplicaciones iOS) en los dispositivos afectados.

La cadena de exploits del espionaje de Android

Los usuarios de Android recibieron una cadena de exploits similar que combinaba una vulnerabilidad de ejecución de código en el motor del navegador, esta vez Chrome, con un escape de sandbox y escalada de privilegios. El fallo de ejecución de código era CVE-2022-3723, una vulnerabilidad de confusión de tipo encontrada por investigadores del proveedor de antivirus Avast y parcheada en la versión 107.0.5304.87 de Chrome en octubre de 2022. Esto se combinó con una desviación del sandbox de la GPU de Chrome (CVE-2022-4135) que se corrigió en Android en noviembre de 2022, pero que era de día cero en el momento en que se explotó, y un exploit para una vulnerabilidad en los controladores de la GPU ARM Mali (CVE-2022-38181) para la que ARM había publicado parches en agosto de 2022.

Esta cadena de exploits, cuya carga útil no se ha recuperado, funcionaba contra usuarios de dispositivos Android con GPU ARM Mali y una versión de Chrome inferior a la 106. El problema es que una vez que ARM publica parches para su código, pueden pasar meses hasta que los fabricantes de dispositivos los integren en su propio firmware y publiquen sus propias actualizaciones de seguridad. Con el fallo de Chrome, los usuarios tuvieron menos de un mes para instalar la actualización antes de que se produjera esta campaña.

Esto pone de manifiesto lo importante que es tanto para los fabricantes de dispositivos acelerar la integración de parches para vulnerabilidades críticas como para los usuarios mantener actualizadas las aplicaciones de sus dispositivos, especialmente las críticas como navegadores, clientes de correo electrónico, etc.

Contra dispositivos Samsung

Otra campaña, descubierta en diciembre de 2022, iba dirigida a los usuarios del navegador de Internet de Samsung, que es el navegador por defecto de los dispositivos Android de Samsung y está basado en el proyecto de código abierto Chromium. Esta campaña también utilizaba enlaces enviados por SMS a usuarios de los Emiratos Árabes Unidos, pero la página de destino que entregaba el exploit era idéntica a la que TAG había observado anteriormente para el framework Heliconia desarrollado por el proveedor comercial de spyware Variston.

Este exploit combinaba múltiples fallos de día cero y fallos de día N, pero que eran de día cero para el navegador de Internet de Samsung o el firmware que se ejecutaba en los citados dispositivos en ese momento. Una de las vulnerabilidades era CVE-2022-4262, una vulnerabilidad de confusión de tipo de ejecución de código en Chrome corregida en diciembre de 2022. Esto se combinó con un escape de sandbox (CVE-2022-3038) que se solucionó en agosto de 2022 en la versión 105 de Chrome. Sin embargo, el navegador de Internet de Samsung en el momento de la campaña de ataque se basaba en la versión 102 de Chromium y no incluía estas últimas mitigaciones, lo que demuestra una vez más cómo los atacantes se aprovechan de la lentitud de las ventanas de parches.

La cadena de exploits también se basaba en una vulnerabilidad de escalada de privilegios (CVE-2022-22706) en el controlador del núcleo de la GPU ARM Mali que ARM corrigió en enero de 2022. Cuando se produjeron los ataques, en diciembre de 2022, la última versión del firmware de los dispositivos Samsung aún no había incorporado la corrección.

La cadena de exploits también incluía otra vulnerabilidad de día cero de escalada de privilegios (CVE-2023-0266) en el subsistema de sonido del núcleo de Linux que daba a los atacantes acceso de lectura y escritura al núcleo, así como múltiples días cero de fuga de información del núcleo que Google comunicó tanto a ARM como a Samsung. "Estas campañas siguen subrayando la importancia de los parches, ya que los usuarios no se verían afectados por estas cadenas de exploits si tuvieran un dispositivo totalmente actualizado", afirman los investigadores de Google TAG. "Las mitigaciones intermedias como PAC, V8 sandbox y MiraclePTR tienen un impacto real en los desarrolladores de exploits, ya que habrían necesitado bugs adicionales para saltárselas”.