Cytrox의 Predator 스파이웨어, 캠페인 3곳에서 제로데이 익스플로잇 악용

Cytrox’s Predator spyware used zero-day exploits in 3 campaigns

 

구글의 TAG(Threat Analysis Group) 연구원이 안드로이드의 제로데이 취약점 5개를 통해 2021년 8월에서 10월 사이 안드로이드 사용자를 노린 캠페인 3건을 발견했습니다.

 

이 공격의 목적은 북마케도니아 회사인 Cytrox에서 개발한 감시 스파이웨어인 Predator를 설치하기 위한 것이었습니다.

 

공격자가 악용한 제로데이 취약점 5가지는 아래와 같습니다:

 

크롬 취약점 : CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003

안드로이드 취약점 : CVE-2021-1048

 

아래는 구글 TAG에서 문서화한 캠페인 3건과 악용 방식입니다:

 

캠페인 #1 – 크롬에서 SBrowser로 리디렉션(CVE-2021-38000)

캠페인 #2 – 크롬 샌드박스 탈출(CVE-2021-37973, CVE-2021-37976)

캠페인 #3 – 안드로이드 제로데이 익스플로잇 체인 (CVE-2021-38003, CVE-2021-1048)

 

구글에 따르면 이 익스플로잇은 이집트, 아르메니아, 그리스, 마다가스카르, 코트디부아르, 세르비아, 스페인, 인도네시아를 포함한 여러 정부의 지원을 받는 공격자들에게 판매되는 Cytrox의 상용 감시 스파이웨어에 포함되어 있었습니다.

 

연구원들은 지난 12월 CitizenLab에서 발표한 보고서를 통해 정치인인 Ayman Nour와 인기 뉴스 프로그램 진행자를 노린 Predator 스파이웨어를 사용한 공격에 대해 자세히 설명했습니다.

 

당시 놀라운 점은 Ayman Nour의 전화 기기가 각각 다른 공격자 2명이 운영하는 Cytrox의 Predator와 NSO Group의 Pegasus 스파이웨어에 동시에 감염되었다는 것입니다.

 

구글 TAG에서 발견한 최근 캠페인에서는 적은 수의 타깃만을 노렸습니다. 공격자는 이메일을 통해 타깃 안드로이드 사용자에게 URL 단축 서비스를 모방한 일회성 링크를 전달했습니다.

 

링크를 클릭하면, 피해자의 브라우저가 정식 웹 사이트로 리디렉션되기 전에 익스플로잇을 전달하는 데 사용되는 공격자가 제어하는 도메인으로 먼저 리디렉션됩니다.

 

해당 익스플로잇은 PREDATOR 임플란트의 로더 역할을 하는 ALIEN 안드로이드 뱅킹 트로이 목마를 먼저 전달하는 데 사용되었습니다.

 

“ALIEN은 여러 권한을 가진 프로세스 내부에 있으며, IPC를 통해 PREDATOR로부터 명령을 전달 받습니다. 이러한 명령에는 오디오 녹음, CA 인증서 추가, 앱 숨기김 등이 포함됩니다.”

 

"TAG는 정부의 지원을 받는 공격자에게 익스플로잇이나 감시 툴을 판매하는 다양한 업체 30곳 이상을 계속해서 추적하고 있습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/131561/hacking/predator-spyware-zero-day-exploits.html

https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/