Шпион Predator использует 0-day эксплойты в атаках на пользователей Android

Шпион Predator использует 0-day эксплойты в атаках на пользователей Android

Шпион Predator использует 0-day эксплойты в атаках на пользователей Android

Команду исследователей Google Threat Analysis Group (TAG) заинтересовала деятельность компании Cytrox из Северной Македонии. Эксперты выяснили, что Cytrox разрабатывает эксплойты для 0-day в Chrome и Android, помогающие установить шпионскую программу на мобильные устройства пользователей.

«0-day эксплойты использовались в паре с N-day, таким образом разработчики старались с максимально пользой задействовать временный промежуток между фактом патчинга бреши и установкой соответствующего патча в экосистеме Android», — объясняют исследователи из TAG.

Судя по всему, Cytrox собирала эксплойты, после чего продавала их различным киберпреступникам правительственного уровня из Египта, Армении, Греции, Мадагаскара, Сербии, Испании, Индонезии и др. Известно об использовании упомянутых эксплойтов как минимум в трёх разных киберкампаниях.

При этом Cytrox также стоит за разработкой шпионского софта Predator, который является аналогом Pegasus от NSO Group. Всего команда TAG отметила пять уязвимостей нулевого дня в Chrome и Android, которые использовали кибершпионы:

  • CVE-2021-37973 — некорректное использование динамической памяти (Use-after-free) в API Portals.
  • CVE-2021-37976 — возможность утечки информации в ядре.
  • CVE-2021-38000 — недостаточная проверка ввода в Intents.
  • CVE-2021-38003 — некорректная имплементация в движке V8.
  • CVE-2021-1048 — Use-after-free в ядре Android.

Напомним, что в мае Google выпустила патчи, устраняющие критическую уязвимость. Также на днях стало известно, что знаменитый Android-троян Джокер прокрался в Google Play Store под видом PDF-сканера.

VK распродаёт активы и перестраивается под санкциями

VK резко перестраивает работу после новых ограничений Евросоюза. За несколько дней холдинг продал RuStore, объявил окончательный переезд с домена .com на .ru и лишился приложений сразу в двух крупнейших западных магазинах.

С 15 июля владельцем разработчика RuStore — компании «Много приложений» — стал её гендиректор Дмитрий Панкрушев.

Ранее бизнес целиком принадлежал VK. Сумма сделки не раскрывается, но эксперты оценивают актив примерно в 2 млрд рублей и связывают продажу с попыткой вывести магазин приложений из-под санкционного зонта холдинга.

Следом VK сообщил об исчезновении своих сервисов из Google Play. Вместе с VK и Max из каталога пропали «Одноклассники», Mail.ru, «Дзен» и «Юла». Ранее часть приложений холдинга уже удаляли из App Store.

Компания заверяет, что установленные версии продолжают работать, пуши и звонки не отключатся, а скачать приложения можно через RuStore и магазины производителей смартфонов.

Параллельно VK завершает переезд с vk.com на vk.ru. Для обычного пользователя это выглядит как смена нескольких букв, но внутри завязаны API, авторизация и партнёрские интеграции.

Эксперты, которых цитирует «КоммерсантЪ», считают, что переход в российскую доменную зону позволит снизить зависимость от зарубежной инфраструктуры. Некоторые участники рынка, впрочем, называют переезд срочным и вынужденным.

Инвесторы энтузиазма не проявили: 16 июля акции VK падали более чем на 7%.

Получается полноценная цифровая эвакуация: RuStore — за периметр холдинга, приложения — в альтернативные каталоги, домен .com — на выход. VK не просто меняет адрес, а срочно собирает инфраструктуру там, где до неё сложнее дотянуться санкциям.

RSS: Новости на портале Anti-Malware.ru