Компании эксплуатировали исправленные уязвимости для шпионских атак на iOS и Android.
Две отдельные кампании были ограниченными и узконаправленными, в них использовался разрыв между выпуском исправления и моментом его фактического развертывания на целевых устройствах. Масштабы кампаний и характер целей в настоящее время неизвестны.
Первая кампания проходила в ноябре 2022 года и заключалась в отправке сокращенных ссылок в SMS-сообщениях пользователям в Италии, Малайзии и Казахстане. При нажатии на ссылку URL-адреса перенаправляли жертв на заражённые сайты, на которых размещены эксплойты для Android или iOS, а затем пользователи перенаправлялись на легитимные новостные сайты или сайты отслеживания почтовых отправлений.
Вторая кампания происходила в декабре 2022 года и состояла из нескольких нулевых дней в браузере Samsung, при этом эксплойты доставлялись через ссылки в SMS на устройства, расположенные в ОАЭ.
Ссылка ввела на сайт, похожий на сайт поставщика шпионского ПО из Испании Variston IT, которого Google TAG обвиняла в разработке набора хакерских инструментов Heliconia . Вредоносный сайт доставлял на устройства шпионский инструмент на основе C++, способный собирать данные из чатов и браузеров.
Правозащитная организация Amnesty International охарактеризовала декабрьскую кампанию как «передовую и изощренную» и что эксплойт «разработан коммерческой компанией по кибернаблюдению и продан правительственным хакерам для проведения целевых шпионских атак».
По словам Amnesty International, шпионское ПО и эксплойты доставлялись из сети, состоящей из более 1000 вредоносных доменов, включая домены, имитирующие сайты с медиаконтентом в разных странах.
Исследователи заключили, что две обнаруженные кампании — напоминание о том, что индустрия коммерческого шпионского ПО продолжает процветать. Даже мелкие поставщики имеют доступ к нулевым дням. Компании обмениваются эксплойтами и методами взлома, способствуя распространению опасных хакерских инструментов.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале