Le développeur de logiciels espions nord-macédonien Cytrox a trouvé et vendu des failles dans les systèmes d’Android et de Google Chrome. Ce sont en tout cinq failles “zero-day” que Cytrox aurait trouvées et revendues ensuite à des organismes gouvernementaux. C’est en tout cas ce qu’ont annoncé les chercheurs en sécurité du Google Threat Analysis qui ont révélé trois campagnes d’espionnage de terminaux Android entre août et octobre 2021. Les trois campagnes analysées par la team GTA de Google s’appuient sur cinq failles zero-day, quatre concernent le navigateur Chrome et un le système d’exploitation Android. « Nous pensons avec une grande confiance que ces exploits ont été intégrés par une seule société commerciale de surveillance, Cytrox, et vendus à différents acteurs gouvernementaux », affirme Google dans une note de blog. Il semblerait que le logiciel développé par Cytrox ait remplacé le logiciel Pegasus utilisé notamment par l’Arabie Saoudite en juillet de l’année passée. Des campagnes ciblées Il ne s’agit pas d’un hacking de masse visant à récolter de l’information dans tous les smartphones. Les campagnes étaient très ciblées et auraient à peine visées quelques dizaines d’utilisateurs Android. L’infection de l’appareil s’opérait via un courriel envoyé comportant un lien redirigeant vers un site web. Le but de ces mails était d’installer le logiciel malveillant appelé Alien agissant comme un diffuseur pour charger le logiciel “Predator” de Cytrox qui, une fois installé, utilisait des failles présentes, corrigées ou non, dans les smartphones Android. Le malware est conçu pour enregistrer de l’audio, ajouter des certificats CA et masquer des applications pour échapper à la détection. Trois campagnes, un but commun La première des trois campagnes a eu lieu en août 2021 et a utilisé une faille sur Google Chrome (CVE 2021 – 38000) via un Samsung Galaxy S21 pour forcer le navigateur à charger une autre adresse web sans demander d’interaction de la part de l’utilisateur. La seconde campagne de piratage a eu lieu un mois plus tard, en septembre 2021, utilisait des failles rapportées (CVE-2021-37973 et CVE-2021-37976) afin d’échapper à la Sandbox d’Android et d’augmenter les privilèges auxquels le malware avait accès. La troisième et dernière campagne, jusqu’à présent, a été détectée en octobre 2021. Il s’agit d’un exploit complet d’Android 0-day sur un téléphone Samsung à jour en exécutant la dernière version de Chrome. Le logiciel espion a combiné deux failles, la CVE-2021-38003 et la CVE-2021-1048, afin d’échapper au Sandbox. Le but étant d’injecter un code malveillant dans des processus privilégiés afin de compromettre la sécurité du système Android. “Les pirates ayant fait l’acquisition du logiciel “Predator” sont disséminés partout dans le monde: Grèce, Serbie, Égypte, Arménie, Espagne, Indonésie, Madagascar et Côte d’Ivoire”, révèlent les chercheurs de Google. Coopérer pour lutter contre la cybercriminalité Les experts de Google estiment que pour défaire les cyberattaques et les logiciels espions qui seront de plus en plus courant dans les années à venir, il faut mettre en place une coopération entre plusieurs acteurs afin d’enrayer le phénomène. “Lutter contre les pratiques néfastes de l’industrie de la surveillance commerciale nécessitera une approche solide et globale qui inclut la coopération entre les équipes de renseignement sur les menaces, les défenseurs des réseaux, les chercheurs universitaires et les plateformes technologiques“, ont déclaré les chercheurs de la Google Threat Analysis. Cette nouvelle faille démontre que les fournisseurs de produits de surveillance comme NSO ou Cytrox rivalisent d’ingéniosité et ont atteint un tel niveau de technicité qu’il est difficile de les contrer au jour le jour. Ce n’est qu’après que l’on se rend compte des failles et des données exposées à ces attaques.